Corporate Security Organisation
De laatste maanden beland ik nog al eens in discussies over hoe een
corporate security organisatie eruit zou moeten zien. Hierover is best al
het een en ander te vinden op het internet (bijvoorbeeld
http://www.boran.com/security/IT1x-3.html) maar erg bruikbaar is het
allemaal nog niet. Ook BS7799 laat nog veel aan de verbeelding over. Laten
we eens voorzichtig gaan bouwen aan een corporate security organisatie
(CSO), zodat het modelopzetje voor iedereen bruikbaar is door middel van de
kunst van het herschikken en wegstrepen.
Corporate Information Security Officer (CISO)
Aan wie zou de CISO eigenlijk moeten rapporteren en verantwoordelijkheid
afleggen? Simpel, aan de eigenaren van de organisatie omdat deze immers ook
de eigenaren van de informatie zijn. De CEO beheert tegen een minnelijke
vergoeding de organisatie, dus de CISO bevind zich in de
organisatiestructuur direct onder de CEO.
Om succesvol te kunnen opereren heeft de CISO een CSO nodig. Beveiligen doe
je immers samen!
Corporate Security Organisation
Onder supervisie van de CISO waarborgt de CSO de gestelde doelen en
faciliteert het realiseren hiervan. De CSO zou je kunnen opdelen in een
aantal taakgroepen;
Strategy
Information Officer
Physical & environmental Security Officer
ICT Manager
Information Classification Officer
Asset manager
Legal Manager
Financial Officer
Business Continuity Manager
Tactical
Communication Officer
HR Officer
Business process owners
Security Architect
System Designer
Secure Development Officer
External Expert panel
External Technical Security Advisor
External Organisational Security Advisor
Auditing
ICT Auditor
External (BS7799) auditor
Damage Control
Incident Manager
Crisis Manager
Communication Officer
Legal Manager
ICT Manager
Het is natuurlijk onmogelijk om een CSO welke voor iedere organisatie
bruikbaar is te definiëren, maar het is wel degelijk mogelijk om een
daadkrachtige CSO neer te zetten waarin de essentiële rollen en
verantwoordelijkheden zijn vastgelegd. Bovenstaande opzet zal tenminste
stof tot nadenken bieden en daar steek ik graag mijn nek voor uit.
De eerste hamvraag is hoe het dan moet met het budget? Dit maakt de zaak
inderdaad fors gecompliceerder. Idealiter zou de CSO over een eigen budget
moeten beschikken, mijn vrees is dat men dan een FTE kwijt is aan het
hanteren van de verdeelsleutel..
En de tweede hamvraag? Competentie. Met andere woorden, over welke bagage
dient een CISO te beschikken om ondanks alle complexiteit succesvol te
zijn? Ik geloof dat het tijd wordt voor een grondig onderzoek naar deze
materie.
Beste mannen en vrouwen, schieten maar!
Wat in de ICT standaard moet worden is dat security in alle lagen opgenomen wordt als basis compententie c.q. module. Het is niet zinvol om een aparte security developer in huis te halen, alle developers moeten aan security eisen / standaards kunnen voldoen.
Daarnaast ligt er een pijnpunt in het schemer gebied tussen projecten en lijn beheer. Projecten hebben vaak haast en kosten addioneel geld (minder kwaliteit). Beheer clubs zijn vaak statisch en niet ingericht op verandering a.g.v. dikke SLA contracten e.d.
Beide tornen aan overall concepten als security. Conclusie is dat de IT nog jeudig is qua levensfase. De komende 10 jaar zal daar verandering in moeten komen. Technische innovatie gaat snel, echter cultuur, awareness, organisaties en moraal nemen wat meer tijd in beslag. Dat zijn met name gebieden welke raakvlak met security hebben. De techniek rondom security is vrij transparant, juist de fundamenten eromheen zijn divers, complex en kolossaal.
Goed, beter een initiatief dan geen initiatief.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Privacy Officer
Als Privacy Officer werk je zowel bij de rechtbank Den Haag als bij de rechtbank Rotterdam. Jij laat ons zien hoe we veilig met gegevens moeten omgaan en wat we moeten doen als er iets misgaat. Je verbetert voortdurend het privacybeleid en betrekt de organisatie hier actief bij.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
No more ransomware!
De nieuwe Ransomware Awareness Experience training biedt een realistische maar vooral leuke introductie in de wereld van ransomware. De deelnemers ervaren hoe eenvoudig een organisatie het slachtoffer kan worden van ransomware en leren meteen hoe een besmetting kan worden voorkomen!