Is een Security Officer verplicht voor mijn organisatie?
Is een Security Officer verplicht voor je organisatie? En hoe vervul je die rol?
Tobias op den Brouw is Manager Advies en Adviseur bij CertificeringsAdvies Nederland. Zijn kernwaarden zijn helderheid, samenwerken en doelgericht werken en daarmee samen veranderingen realiseren.
tobias@certificeringsadvies.nlSteeds meer organisaties zijn bezig met informatiebeveiliging en privacy. Al snel wordt er dan gepraat over (het aanstellen van) een Security Officer (SO) die verantwoordelijk is voor het continue ‘proces’ van informatiebeveiliging. Regelmatig krijgen we bij CertificeringsAdvies Nederland dan de vraag of een Security Officer verplicht is? Het antwoord op die vraag is simpel: nee. Ondanks dat het niet verplicht is, is het wel sterk aan te raden om een Security Officer aan te stellen. Waarom? Daarover vertellen we je in dit artikel meer.
Security Officer verplicht? Nee, maar wel gewenst!
Wanneer je informatiebeveiliging binnen je organisatie serieus neemt, dan kun je er niet omheen om een Security Officer (SO) aan te stellen. Zeker wanneer je met de ISO 27001 norm, de norm voor informatiebeveiliging, aan de slag gaat. In de norm staat namelijk gedefinieerd dat je rollen en verantwoordelijkheden op het gebied van informatiebeveiliging dient te bepalen binnen je organisatie. Daarbij wel de opmerking dat informatiebeveiliging hand in hand gaat met het gedrag van iedereen binnen de organisatie en niet enkel een taak is van degene die een rol of verantwoordelijkheid op dit gebied toebedeeld krijgt.
Het is ontzettend gewenst en belangrijk dat er iemand verantwoordelijk is voor informatiebeveiliging binnen je organisatie en de SO-rol toebedeeld krijgt, omdat:
- Er zo iemand continu focus heeft op het verhogen van het niveau van informatiebeveiliging en het borgen van vooruitgang op dit gebied;
- Wanneer je met grote(re) organisaties samenwerkt, er vaak om een Security Officer wordt gevraagd. Het is dus belangrijk richting de buitenwereld om zo iemand in je organisatie te hebben;
- Er adequaat gehandeld kan worden wanneer er een incident of datalek plaatsvindt.
De SO-rol als bijzaak voor de IT-manager?
Feit: IT-mensen zijn schaars. Wanneer je ze dus in huis hebt kun je er het beste ook maar zo optimaal mogelijk gebruik van maken. Toch zie je in veel organisaties die met informatiebeveiliging aan de slag willen gaan dat de IT-manager verantwoordelijk wordt gemaakt voor informatiebeveiliging. Hij of zij moet de rol van SO er dan ‘maar even bij doen’. Wanneer een organisatie bovendien ook nog voornemens is om een ISO 27001 certificering te behalen, dan betekent dit voor de IT-manager o.a.:
- Dat hij/zij de hele ISO 27001 norm moet (leren) kennen;
- Dat hij/zij pakweg driekwart jaar ontzettend veel tijd kwijt gaat zijn aan het implementeren van ISO 27001 en het ISMS;
- Dat hij/zij na het behalen van de certificering verantwoordelijk is voor het onderhouden en continu verbeteren van het ISMS. En de organisatie mee dient te nemen (security awareness) naar een hoger niveau van informatiebeveiliging.
Je kunt jezelf dus afvragen of het wel zo slim is om de kostbare uren die je IT-manager tot zijn/haar beschikking heeft in te zetten voor SO-taken waarop hij/zij vaak weinig focus heeft. Simpelweg omdat het niet zijn/haar hoofdtaak is. Kun je de IT-manager niet beter laten focussen op zijn/haar core-taak: ofwel hetgeen waar die goed in is en op die manier kosten besparen? Je kunt de SO-rol dan toebedelen aan iemand anders in de organisatie of juist neerleggen bij een extern iemand in de rol van een Security Officer as a Service (SOaaS).
De SO outsourcen: Security Officer as a Service?
Wanneer je er als organisatie voor kiest om de SO-rol in te vullen met behulp van een externe, dan zitten daar uiteraard een aantal voordelen aan:
- Je kiest iemand die onafhankelijk opereert binnen je organisatie, want hij/zij heeft geen andere belangen dan het belang van informatiebeveiliging.
- Een SOaaS kan je organisatie ongevraagd advies geven, want hij/zij heeft verder niets met de organisatie te maken en kijkt puur vanuit security oogpunt naar binnen. Zo iemand kan je organisatie dus ‘het vuur aan de schenen leggen’ om zo te komen tot een hoger niveau.
- Een SOaaS is in de dagelijkse praktijk voor uiteenlopende (complexe) organisaties met zijn/haar vak bezig en neemt door zijn/haar brede blikveld veel kennis en kunde mee vanuit ervaringen bij andere organisaties.
- Een SOaaS is op de hoogte van de fijne kneepjes van het vak en op de hoogte van alle ontwikkelingen met betrekking tot informatiebeveiliging en actuele wet- en regelgeving.
- Wanneer er binnen de eigen organisatie bovendien weinig kennis op het gebied van informatiebeveiliging is, dan haal je dat met een SOaaS direct in huis. Je kunt zo gelijk aan de slag.
Security Officer as a Service?
Wil je meer lezen over de rol, taken en mogelijkheden van een SOaaS? Bekijk dan onze Security Officer as a Service adviespagina.
Meer informatie?
In dit artikel hebben we antwoord gegeven op de vraag of een SO verplicht is voor je organisatie. Daarnaast is uitgelegd wat het belang van het invullen van een SO-rol is voor je organisatie en op welke manieren je dat kunt doen. Mocht je meer willen weten over informatiebeveiliging/ISO 27001 of juist meer horen over de mogelijkheden voor het uitbesteden van de SO-taken (SOaaS)? Neem dan gerust contact met ons op. We helpen je graag op weg.
Tobias op den Brouw is Manager Advies en Adviseur bij CertificeringsAdvies Nederland. Zijn kernwaarden zijn helderheid, samenwerken en doelgericht werken en daarmee samen veranderingen realiseren.
tobias@certificeringsadvies.nlAlles weten over outsourcing?
Bekijk de Security Officer as a Service!
- Flexibel op- en afschalen
- Volledige ontzorging
- Vrijblijvend offerte op maat