Een Security Officer (as a Service) inhuren? Zo pak je dat aan.
Een Security Officer (SO): wat is dat voor rol? En heb je zo iemand in huis of huur je in?
Tobias op den Brouw is Manager Advies en Adviseur bij CertificeringsAdvies Nederland. Zijn kernwaarden zijn helderheid, samenwerken en doelgericht werken en daarmee samen veranderingen realiseren.
tobias@certificeringsadvies.nlInformatiebeveiliging wordt, vanwege de grote hoeveelheden data die binnen organisaties wordt verzameld en de steeds scherper wordende wet- en regelgeving, steeds belangrijker voor veel organisaties. Je ziet echter dat organisaties moeite hebben met het op orde brengen van de informatiebeveiliging. Aan de ene kant hebben de mensen binnen de organisatie niet alle kennis paraat op dit gebied en aan de andere kant hebben ze moeite met het inregelen van alle zaken vanwege gebrek aan tijd. Om die redenen is er een stijgende vraag naar outsourcing-oplossingen, zoals een interim Security Officer (SO). Bij CertificeringsAdvies Nederland noemen we dat de ‘Security Officer as a Service’ (SOaaS). In dit artikel vertelt onze adviseur Tobias je meer over die rol binnen jouw organisatie en legt hij uit hoe je het inhuren van een SO aanpakt.
Een SOaaS is direct operationeel
Wanneer je praat over het verbeteren van het niveau van informatiebeveiliging, dan zie je bij organisaties eigenlijk grofweg twee stromingen:
- Organisaties die startende zijn met informatiebeveiliging doordat ze aan de slag zijn gegaan met het doel om een norm te behalen, zoals ISO 27001 of NEN 7510 voor informatiebeveiliging;
- Organisaties die, al dan niet in het bezit zijn van ISO 27001, informatiebeveiliging naar een hoger niveau willen tillen en in dat opzicht steeds weer aanbelanden in de volgende fase waar ze te maken krijgen met complexe(re) uitdagingen.
In beide situaties is het mogelijk om op interim-basis aan de slag te gaan en een Security Officers as a Service (SOaaS) in de arm te nemen. De SOaaS brengt veel kennis en kunde mee, is op de hoogte van (alle) ontwikkelingen en kent relevante wet- en regelgeving op dit gebied. Hij kan dus direct aan de slag. Voordeel daarvan is dat er niet intern allerlei mensen tijd kwijt zijn aan het uitpluizen van de norm of methoden moeten gaan bedenken om de organisatie mee te krijgen. Het levert dus veel tijdswinst op wanneer je een externe invliegt.
Benieuwd naar de dienst SOaaS? Bekijk dan onze SOaaS adviespagina waarin we je uitgebreid uitleggen wat de taken, voordelen en mogelijkheden zijn.
‘Vreemde ogen dwingen’
Eén van de meest genoemde voordelen van een interim Security Officer is het principe ‘vreemde ogen dwingen’. De SOaaS blijft een externe, waardoor deze ongevraagd advies aan je organisatie kan geven en je organisatie ‘het vuur aan de schenen’ kan leggen. Medewerkers zijn hier gevoelig(er) voor en daardoor krijgt de SOaaS vaak sneller verbeteringen voor elkaar, dan wanneer een intern iemand de rol van SO op zich neemt. Het is dan ook verstandig om hier ‘slim’ gebruik van te maken.
Wat een SOaaS verder met zich meebrengt binnen je organisatie is een helicopterview. Hij kijkt namelijk van buiten naar binnen en ziet daardoor andere dingen dan interne mensen die vaak met oogkleppen op opereren omdat ze het nu eenmaal zo gewend zijn. Dat valt ook samen met het feit dat een SOaaS actief is bij meerdere organisaties. Hij ziet binnen andere organisaties problemen en oplossingen die hij weer toe kan passen op jouw organisatie. Van daaruit kan hij kennis en kunde meenemen en direct toepassen binnen jouw organisatie. Een interne SO heeft dat voordeel niet en komt hier vaak pas later achter of is niet bekend met bepaalde zaken.
Stel functieprofielen op
Wanneer je overtuigd bent van de voordelen van outsourcing en kiest voor het inhuren van een Security Officer as a Service, dan is het allereerst van belang om de rol van de Security Officer binnen je organisatie te bekijken. Je kunt wel zo iemand inhuren, maar welke verantwoordelijkheden, taken en bevoegdheden krijgt deze persoon? En hoe verhouden die zaken zich met de rollen van anderen binnen je organisatie, zoals bijvoorbeeld de IT-manager?
Om dit helder te krijgen is het verstandig om allereerst functieprofielen op te stellen waarin taken en verantwoordelijkheden staan beschreven. Op die manier kun je ook een functieprofiel opstellen voor je SOaaS en is direct duidelijk wat binnen zijn takenpakket valt en waar hij mee aan de slag gaat binnen je organisatie. Uiteraard kan de SOaaS helpen bij het opstellen van dit soort zaken, hij heeft hier immers regelmatig mee te maken bij andere organisaties.
Maak de SOaaS meer betrokken
Zodra je SOaaS operationeel is, is het van belang dat je jezelf ervan bewust bent dat een SOaaS, ondanks dat het een externe blijft, onderdeel is van je team. Hij is regelmatig in de organisatie te vinden en leert de organisatie steeds beter kennen. Het is dan ook zeker niet gek als je zo iemand steeds meer betrekt bij je operatie en projecten, en een andere, juist complexere vraagstelling bij hem neerlegt. Een SOaaS kan namelijk door je hele organisatie heengaan om de informatiebeveiliging te verbeteren in plaats van dat hij zich enkel richt op bepaalde processen, procedures en onderwerpen zoals het behalen van een certificering.
Een SOaaS kijkt vanuit een breder blikveld naar je organisatie en zijn focus ligt op continue verbetering. Hoe sterker de SOaaS dus betrokken is bij allerlei zaken, des te meer hij kan verbeteren. Betrek de SOaaS dus ook bij je projecten. Hij kan dan fungeren als sparringpartner voor anderen in het project en samen met hen aan de slag om alles rondom informatiebeveiliging in te regelen. Dit zorgt er tevens voor dat anderen binnen je organisatie zich ook meer bewust worden van het belang van informatiebeveiliging.
Samen meer de diepte in!
“Bij een klant die ISO 27001 wilde behalen ben ik al enige tijd actief geweest als adviseur. Als adviseur sta je als het ware aan de zijlijn om mee te kijken met de organisatie, hen te ondersteunen bij implementatie van de norm en advies te geven over hoe zij iets het beste kunnen aanpakken. Inmiddels ben ik Security Officer (as a Service) bij diezelfde klant waardoor ik periodiek terugkom bij de organisatie en dus verantwoordelijk ben voor een deel van de organisatie. Het is nu dus niet meer zo dat ik enkel meekijk en advies geef, maar ik voer nu bijvoorbeeld ook controles uit, controleer standaard operationele taken, schrijf beleid, bied hulp bij lastige vraagstukken en voer gesprekken met leveranciers. Daardoor gaan we samen meer de diepte in en worden zaken concreter dan dat het geval was toen de organisatie dit soort zaken nog zelf oppakte. Je ziet dat informatiebeveiliging hierdoor naar een (nog) hoger niveau stijgt. De klant zelf gaf aan dat de interne audits nu beter worden uitgevoerd dan voorheen. Dat komt simpelweg door een stukje ervaring dat de SOaaS met zich meebrengt.”
Laat de SOaaS je organisatie ontzorgen
Hierboven beschreven we al dat het slim is om de SOaaS zo breed mogelijk in te zetten, zodat de betrokkenheid zo hoog mogelijk is. Het is dus zaak dat je hier als organisatie slim mee omgaat en jezelf als het ware laat ontzorgen door de SOaaS. Denk er bijvoorbeeld aan om de SOaaS in te zetten bij externe audits. Vaak zie je dat interne medewerkers moeite hebben met op niveau meepraten met externe auditoren. Mensen binnen de organisatie zijn bovendien vaak erg druk met een externe audit die op de planning staat. Wanneer je hier juist een SOaaS naar voren schuift, levert dat tijdswinst op. De SOaaS is immers gewend om te praten met auditoren en weet precies hoe je een externe audit aanvliegt.
Tot slot kan een SOaaS je organisatie ontzorgen bij het verhogen van het informatiebeveiligingsbewustzijn (security awareness) onder medewerkers. Doordat een SOaaS extern is, vinden medewerkers dat vaak interessanter en daardoor schuiven ze eerder aan bij bijvoorbeeld security awareness sessies. Een SOaaS kan daardoor meer impact maken en krijgt de organisatie mee op fronten waar interne medewerkers vaak blijven steken. Wanneer een SOaaS aan de slag gaat met het organiseren van security awareness sessies dan zie je vaak dat de interesse binnen korte tijd snel groeit: mensen in de organisatie vinden het interessant en willen zich graag ontwikkelen om informatiebeveiliging goed toe te passen in de dagelijkse praktijk.
Meer informatie?
In dit artikel hebben we uitgelegd hoe je het inhuren van een Security Officer as a Service (SOaaS) aanpakt binnen je organisatie en wat de rol en voordelen van zo iemand zijn. Wil je meer informatie over informatiebeveiliging of de mogelijkheden van de SOaaS? Neem dan gerust contact met ons op. We helpen je graag op weg.
Tobias op den Brouw is Manager Advies en Adviseur bij CertificeringsAdvies Nederland. Zijn kernwaarden zijn helderheid, samenwerken en doelgericht werken en daarmee samen veranderingen realiseren.
tobias@certificeringsadvies.nlEen Security Officer inhuren?
Wij bieden diverse mogelijkheden. Informeer gerust!
- Op maat en flexibel
- Gericht op jouw doelen
- Direct operationeel