Is een Security Officer verplicht voor mijn organisatie?

Steeds meer organisaties zijn bezig met informatiebeveiliging en privacy. Al snel wordt er dan gepraat over (het aanstellen van) een Security Officer (SO) die verantwoordelijk is voor het continue ‘proces’ van informatiebeveiliging. Regelmatig krijgen we bij CertificeringsAdvies Nederland dan de vraag of een Security Officer verplicht is? Het antwoord op die vraag is simpel: nee. Ondanks dat het niet verplicht is, is het wel sterk aan te raden om een Security Officer aan te stellen. Waarom? Daarover vertellen we je in dit artikel meer.

Wanneer je informatiebeveiliging binnen je organisatie serieus neemt, dan kun je er niet omheen om een Security Officer (SO) aan te stellen. Zeker wanneer je met de ISO 27001 norm, de norm voor informatiebeveiliging, aan de slag gaat. In de norm staat namelijk gedefinieerd dat je rollen en verantwoordelijkheden op het gebied van informatiebeveiliging dient te bepalen binnen je organisatie. Daarbij wel de opmerking dat informatiebeveiliging hand in hand gaat met het gedrag van iedereen binnen de organisatie en niet enkel een taak is van degene die een rol of verantwoordelijkheid op dit gebied toebedeeld krijgt.

Het is ontzettend gewenst en belangrijk dat er iemand verantwoordelijk is voor informatiebeveiliging binnen je organisatie en de SO-rol toebedeeld krijgt, omdat:

Feit: IT-mensen zijn schaars. Wanneer je ze dus in huis hebt kun je er het beste ook maar zo optimaal mogelijk gebruik van maken. Toch zie je in veel organisaties die met informatiebeveiliging aan de slag willen gaan dat de IT-manager verantwoordelijk wordt gemaakt voor informatiebeveiliging. Hij of zij moet de rol van SO er dan ‘maar even bij doen’. Wanneer een organisatie bovendien ook nog voornemens is om een ISO 27001 certificering te behalen, dan betekent dit voor de IT-manager o.a.:

Je kunt jezelf dus afvragen of het wel zo slim is om de kostbare uren die je IT-manager tot zijn/haar beschikking heeft in te zetten voor SO-taken waarop hij/zij vaak weinig focus heeft. Simpelweg omdat het niet zijn/haar hoofdtaak is. Kun je de IT-manager niet beter laten focussen op zijn/haar core-taak: ofwel hetgeen waar die goed in is en op die manier kosten besparen? Je kunt de SO-rol dan toebedelen aan iemand anders in de organisatie of juist neerleggen bij een extern iemand in de rol van een Security Officer as a Service (SOaaS).

Wanneer je er als organisatie voor kiest om de SO-rol in te vullen met behulp van een externe, dan zitten daar uiteraard een aantal voordelen aan:

Wanneer je praat over het verbeteren van het niveau van informatiebeveiliging, dan zie je bij organisaties eigenlijk grofweg twee stromingen:

In beide situaties is het mogelijk om op interim-basis aan de slag te gaan en een Security Officers as a Service (SOaaS) in de arm te nemen. De SOaaS brengt veel kennis en kunde mee, is op de hoogte van (alle) ontwikkelingen en kent relevante wet- en regelgeving op dit gebied. Hij kan dus direct aan de slag. Voordeel daarvan is dat er niet intern allerlei mensen tijd kwijt zijn aan het uitpluizen van de norm of methoden moeten gaan bedenken om de organisatie mee te krijgen. Het levert dus veel tijdswinst op wanneer je een externe invliegt.

Eén van de meest genoemde voordelen van een interim Security Officer is het principe ‘vreemde ogen dwingen’. De SOaaS blijft een externe, waardoor deze ongevraagd advies aan je organisatie kan geven en je organisatie ‘het vuur aan de schenen’ kan leggen. Medewerkers zijn hier gevoelig(er) voor en daardoor krijgt de SOaaS vaak sneller verbeteringen voor elkaar, dan wanneer een intern iemand de rol van SO op zich neemt. Het is dan ook verstandig om hier ‘slim’ gebruik van te maken.

Wat een SOaaS verder met zich meebrengt binnen je organisatie is een helicopterview. Hij kijkt namelijk van buiten naar binnen en ziet daardoor andere dingen dan interne mensen die vaak met oogkleppen op opereren omdat ze het nu eenmaal zo gewend zijn. Dat valt ook samen met het feit dat een SOaaS actief is bij meerdere organisaties. Hij ziet binnen andere organisaties problemen en oplossingen die hij weer toe kan passen op jouw organisatie. Van daaruit kan hij kennis en kunde meenemen en direct toepassen binnen jouw organisatie. Een interne SO heeft dat voordeel niet en komt hier vaak pas later achter of is niet bekend met bepaalde zaken.

Wanneer je overtuigd bent van de voordelen van outsourcing en kiest voor het inhuren van een Security Officer as a Service, dan is het allereerst van belang om de rol van de Security Officer binnen je organisatie te bekijken. Je kunt wel zo iemand inhuren, maar welke verantwoordelijkheden, taken en bevoegdheden krijgt deze persoon? En hoe verhouden die zaken zich met de rollen van anderen binnen je organisatie, zoals bijvoorbeeld de IT-manager?

Om dit helder te krijgen is het verstandig om allereerst functieprofielen op te stellen waarin taken en verantwoordelijkheden staan beschreven. Op die manier kun je ook een functieprofiel opstellen voor je SOaaS en is direct duidelijk wat binnen zijn takenpakket valt en waar hij mee aan de slag gaat binnen je organisatie. Uiteraard kan de SOaaS helpen bij het opstellen van dit soort zaken, hij heeft hier immers regelmatig mee te maken bij andere organisaties.

Zodra je SOaaS operationeel is, is het van belang dat je jezelf ervan bewust bent dat een SOaaS, ondanks dat het een externe blijft, onderdeel is van je team. Hij is regelmatig in de organisatie te vinden en leert de organisatie steeds beter kennen. Het is dan ook zeker niet gek als je zo iemand steeds meer betrekt bij je operatie en projecten, en een andere, juist complexere vraagstelling bij hem neerlegt. Een SOaaS kan namelijk door je hele organisatie heengaan om de informatiebeveiliging te verbeteren in plaats van dat hij zich enkel richt op bepaalde processen, procedures en onderwerpen zoals het behalen van een certificering.

Een SOaaS kijkt vanuit een breder blikveld naar je organisatie en zijn focus ligt op continue verbetering. Hoe sterker de SOaaS dus betrokken is bij allerlei zaken, des te meer hij kan verbeteren. Betrek de SOaaS dus ook bij je projecten. Hij kan dan fungeren als sparringpartner voor anderen in het project en samen met hen aan de slag om alles rondom informatiebeveiliging in te regelen. Dit zorgt er tevens voor dat anderen binnen je organisatie zich ook meer bewust worden van het belang van informatiebeveiliging.

Hierboven beschreven we al dat het slim is om de SOaaS zo breed mogelijk in te zetten, zodat de betrokkenheid zo hoog mogelijk is. Het is dus zaak dat je hier als organisatie slim mee omgaat en jezelf als het ware laat ontzorgen door de SOaaS. Denk er bijvoorbeeld aan om de SOaaS in te zetten bij externe audits. Vaak zie je dat interne medewerkers moeite hebben met op niveau meepraten met externe auditoren. Mensen binnen de organisatie zijn bovendien vaak erg druk met een externe audit die op de planning staat. Wanneer je hier juist een SOaaS naar voren schuift, levert dat tijdswinst op. De SOaaS is immers gewend om te praten met auditoren en weet precies hoe je een externe audit aanvliegt.

Tot slot kan een SOaaS je organisatie ontzorgen bij het verhogen van het informatiebeveiligingsbewustzijn (security awareness) onder medewerkers. Doordat een SOaaS extern is, vinden medewerkers dat vaak interessanter en daardoor schuiven ze eerder aan bij bijvoorbeeld security awareness sessies. Een SOaaS kan daardoor meer impact maken en krijgt de organisatie mee op fronten waar interne medewerkers vaak blijven steken. Wanneer een SOaaS aan de slag gaat met het organiseren van security awareness sessies dan zie je vaak dat de interesse binnen korte tijd snel groeit: mensen in de organisatie vinden het interessant en willen zich graag ontwikkelen om informatiebeveiliging goed toe te passen in de dagelijkse praktijk.

In dit artikel hebben we antwoord gegeven op de vraag of een SO verplicht is voor je organisatie. Daarnaast is uitgelegd wat het belang van het invullen van een SO-rol is voor je organisatie en op welke manieren je dat kunt doen. Mocht je meer willen weten over informatiebeveiliging/ISO 27001 of juist meer horen over de mogelijkheden voor het uitbesteden van de SO-taken (SOaaS)? Neem dan gerust contact met ons op. We helpen je graag op weg.