1.2.3.2.1.2. CISO als verplichte rol
versie ICR 2.2
Het Stuurorgaan heeft tijdens de zitting van 17 april 2024 CISO als verplichte rol goedgekeurd. Mijlpaal voor implementatie is 31 december 2025.
CISO als verplichte rol
De uitdagingen waarmee de Vlaamse overheid geconfronteerd wordt op gebied van informatieveiligheid, worden steeds groter, mede door de snelle digitalisering, geopolitieke veranderingen en de voortschrijdende technologische evoluties. Het is dan ook niet verwonderlijk dat de nood aan een adviserende, coördinerende en sturende rol in de organisatiestructuur toeneemt.
Het Stuurorgaan heeft dan ook tijdens de zitting van 17 april 2024 beslist om de rol van CISO verplicht te maken voor alle entiteiten onder haar bevoegdheid. Deze beslissing werd geïntegreerd in de ICR documentatie van Juni 2024.
De term CISO staat voor ‘Chief Information Security Officer’ en is een gebruikelijke en goed gekende rol in de wereld van informatieveiligheid. Chief Information Security Officer is de referentie die gehanteerd wordt naar het in te vullen takenpakket, maar de entiteiten hebben de vrijheid om zelf de titelvoering te kiezen.
CISO moet minimaal als rol ingevuld worden, maar een entiteit kan de rol als functie definiëren. Dat geeft de entiteiten meer mogelijkheden om het bijhorende takenpakket in te vullen volgens de noden en mogelijkheden van hun organisatie.
De aanduiding van een CISO gebeurt steeds door de desbetreffende entiteit en kan door het aanduiden van een personeelslid dat reeds in dienst is, een aanwerving of door een externe medewerker. Eén persoon kan ook voor meerdere entiteiten de rol van CISO uitvoeren voor zover er geen belangenconflicten optreden.
Er moet een centraal register (onder toezicht van het Stuurorgaan) zijn voor de CISO’s, bijvoorbeeld in het kader van crisiscommunicatie.
Plaats van de CISO in de organisatie
Om optimale informatiebeveiliging mogelijk te maken is het raadzaam dat de CISO over het juiste mandaat, middelen en budget beschikt. De CISO heeft een mandaat nodig om beslissingen te kunnen nemen binnen het kader van zijn/haar werkzaamheden, en budget/middelen om activiteiten waar te maken.
De CISO werkt op strategisch en tactisch niveau. Het is dan ook belangrijk dat de CISO een onafhankelijke positie in de organisatie kan bekleden, waarbij de belangen van bijvoorbeeld een afdelingshoofd of dienstenleverancier niet mee mogen wegen als het gaat om onafhankelijk advies. Onafhankelijkheid is tevens belangrijk om kritisch de implementatie van het beleid te kunnen toetsen.
Het is niet ongebruikelijk dat de CISO operationele verantwoordelijkheden heeft. Dit is afhankelijk van de grootte van de organisatie, het maturiteitsniveau en de beschikbaarheid van gekwalificeerd personeel. Het mengen van verantwoordelijkheden vraagt enige waakzaamheid. Vanuit regelgeving en industrienormen wordt functiescheiding verwacht en vermijding van belangenvermenging.
Concreet houdt dit in dat de CISO hiërarchisch[1] weliswaar onder een bepaalde afdeling kan ressorteren maar functioneel[2] rapporteert over informatieveiligheid aan het management waarbij deze persoon geen controle uitoefent op directe leidinggevende waar dit een belangenconflict kan geven. Bij de aanduiding van de CISO zorgt het management ervoor dat er geen onverenigbaarheden met andere rollen en/of afdelingen zijn.
In kleine organisaties zal men geneigd zijn om verschillende rollen toe te kennen aan dezelfde persoon. Samenvoegen van rollen is mogelijk, zolang belangen, taken, verantwoordelijkheden en bevoegdheden niet conflicteren.
Aangezien de CISO zich toelegt op beleidsvorming en beleidstoezicht, is zijn/haar rol onverenigbaar met beleidsuitvoering. We denken hierbij bijvoorbeeld aan IT manager, HR manager, … Een CISO mag niet het eigen werk controleren en kan dus geen toezicht houden op het resultaat van een operationele taak die al dan niet tijdelijk is opgenomen door dezelfde persoon.
Is de rol van CISO verenigbaar met de rol van DPO?
Hoewel de CISO en de DPO best in nauw overleg samenwerken, is het de taak van de CISO om een gepast veiligheidsbeleid uit te werken en aan de DPO om toezicht te houden op de gepastheid hier van specifiek voor de bescherming van persoonsgegevens. Wanneer dit dezelfde persoon is, kan er mogelijk een belangenconflict optreden.
Risico’s verbonden aan combineren van rollen moeten door het management van de entiteit expliciet aanvaard en gedocumenteerd worden.
Entiteiten die geen nood hebben aan een voltijdse CISO of niet beschikken over de nodige kennis en ervaring profielen hebben er baat bij om deze rol uit te besteden. Uitbesteden van de CISO rol is in principe mogelijk onder bepaalde voorwaarden:
Zijn/haar onafhankelijkheid moet gegarandeerd worden.
(inclusief vermijden van commerciële belangen)
Er is aantoonbare expertise en ervaring.
Een stabiele relatie kan gewaarborgd worden.
De nodige contractuele voorwaarden zijn geborgd
(vertrouwelijkheidsclausules, continuïteit in de dienstverlening, aansprakelijkheid …)
CISO taakomschrijving
De CISO beweegt zich op strategisch en tactisch niveau. Dit veronderstelt een door het management gedocumenteerd en goedgekeurd informatieveiligheidsbeleid, inclusief de beschrijving van de rollen en verantwoordelijkheden en het nodige mandaat om de CISO rol te kunnen invullen. Naast een adviserende rol is hij/zij verantwoordelijk voor beleidsvorming en beleidstoezicht in het kader van informatieveiligheid.
De CISO:
Heeft een adviserende rol in informatieveiligheid, waaronder ICT en OT[3] security.
Definieert het informatiebeveiligingsbeleid en de informatieveiligheidsstrategie vanuit een op risico gebaseerde benadering, conform het veiligheidsbeleid van de Vlaamse overheid. Hierbij houdt hij rekening met een continu veranderend dreigingsbeeld en analyseert daarbij trends en organisatiebehoeften.
Richt de informatiebeveiligingsorganisatie in, definieert de daarvoor benodigde middelen en wijst ze toe.
Initieert en coördineert de implementatie van informatiebeveiliging voor de hele organisatie, houdt toezicht vanuit een tweedelijnsrol en rapporteert aan het topkader.
Zorgt voor een geschikt niveau van informatiebeveiliging en informatiebeveiligingsgedrag in de organisatie, gebaseerd op de behoeften en de risicobereidheid van de organisatie.
Neemt deel aan de vergaderingen van de Werkgroep Informatieveiligheid.
Wordt door interne en externe belanghebbenden gezien als de deskundige op het gebied van informatiebeveiligingsstrategie.
De CISO heeft volgende opdrachten:
Opstellen, sturen en handhaven van het informatieveiligheidsbeleid.
Opstellen van jaarlijkse doelstellingen en strategisch/tactisch informatieveiligheidsplan.
Communiceren van het informatieveiligheidsbeleid aan alle relevante belanghebbenden.
Initiëren van bewustzijn campagnes voor verschillende doelgroepen.
Ontwikkelen, onderhouden en publiceren van beheerprocessen voor informatieveiligheidsbeleid.
Adviseren van programma’s en projecten bij de uitvoering van diverse veiligheidsactiviteiten zoals klassebepaling, risicoanalyse, implementatie beheersmaatregelen, etc.
Behouden van overzicht over informatieveiligheidsrisico’s en erop toezien dat deze regelmatig worden geactualiseerd en effectief gemitigeerd door de risico-eigenaren.
Monitoren van compliance met het informatieveiligheidsbeleid.
Aggregeren van informatieveiligheidsrisico’s tot een geconsolideerd overzicht ten behoeve van rapportering aan het management en stuurgroepen over veiligheidsgerelateerde zaken op regelmatige en ad-hoc basis indien nodig.
Stimuleren van een lerende organisatie ten behoeve van continue verbetering van informatieveiligheid.
Fungeren als aanspreekpunt voor belangrijke overheidsinstanties over veiligheidskwesties.
Geven van deskundig advies aan het management.
Geven van deskundig advies aan aanpalende vakgroepen, zoals persoonsgegevensbescherming, informatiemanagement en bedrijfsrisicobeheer, met betrekking tot technische en organisatorische maatregelen rond informatieveiligheid.
Volgende taken zijn niet gevat in de rol van CISO:
Het uitvoeren van informatieklassebepalingen of risicoanalyses.
Het opstellen en implementeren van informatieveiligheidsmaatregelen.
Operationele taken.
De uitvoering van het informatieveiligheidsplan.
CISO competenties
Gezien het takenpakket van de CISO moet hij/zij beschikken over een aantal technische en niet-technische vaardigheden:
Brede kennis op gebied van informatieveiligheid en -beveiliging alsook de wet- en regelgeving ter zake (helikopter view), zowel op technisch als organisatorisch domein.
Het vermogen om strategisch en tactisch te denken.
Diplomatieke en communicatieve vaardigheden: de CISO moet overtuigend communiceren over technische en niet-technische onderwerpen, zowel richting medewerkers als richting management en bestuur.
Goede rapporterings- en presentatie vaardigheden: vanuit zijn/haar adviserende rol is het belangrijk om zaken goed op papier te zetten (rapporteren) en te presenteren.
[1] Hiërarchisch: vanuit leidinggevende positie, inclusief personele en financiële aspecten.
[2] Functioneel: vanuit een specifieke vakinhoudelijke verantwoordelijkheid.
[3] OT = Operational Technologie: hardware en software ter ondersteuning van industriële apparatuur en processen (bijvoorbeeld voor bediening van sluizen, opvolging verkeer).