De zoektocht naar de excellente information security officer
door Strict op vr 3 mei 2019
Voor veel organisaties wordt informatiebeveiliging een steeds belangrijker thema. De eisen die worden gesteld aan ICT- c.q. informatiesystemen worden steeds strenger. Beveiligingsmaatregelen kunnen duur zijn, maar verstoringen van bedrijfsprocessen en boetes kunnen ook ernstige gevolgen hebben. Een information security officer (ISO) kan in dit krachtenspel een belangrijke rol spelen.
Wat doet een information security officer?
In eerdere blogs heb ik uitgelegd hoe attitude, strategie en dagelijks handelen van de excellente ISO kunnen bijdragen aan het succes van een organisatie. Dat konden we vangen in negen principes:
- Passie voor informatiebeveiliging
- Wind zaaien…en er staan als het stormt
- Positieve grondhouding
- Vitale, gedeelde visie
- Werken aan een topteam
- Ruimte geven
- Visie in dagelijks handelen vertalen
- Stimuleren van professioneel gedrag
- Er zijn…
De ISO moet dus een schaap met negen poten zijn. Op operationeel, tactisch en strategisch niveau moet die soepel kunnen maneuvreren. Het is een sparring partner op alle niveaus in de organisatie, van de medewerker salarisadministratie die een e-mail naar de verkeerde persoon heeft gestuurd tot de bestuursvoorzitter die wil weten hoe we met cyber-risico’s omgaan.
Waar vind je zo’n schaap met negen poten?
Zulke mensen zijn schaars. Ze zijn te vergelijken met een gering aantal vissen in een grote vijver waar vele vissers ze aan de haak willen slaan.
Om in de vissersmetafoor te blijven, je moet dus een goede hengel gebruiken, een goede stek kiezen en aantrekkelijk lokaas aanbieden. Want de excellente ISO is kieskeurig.
Hieronder geef ik enkele praktijkvoorbeelden van kansloze pogingen, met tips om het beter te doen:
- Onervaren of luie recruiters schieten regelmatig tevergeefs met hagel door enkel te vragen of iemand wellicht interesse heef in een volgende carrièrestap. De vraag is zo vaag dat je niet eens een antwoord zult krijgen. Tip: Kom met een reële functie met een goede beschrijving.
- Een te algemene beschrijving van de werkzaamheden. Dat spreekt niet aan. Tip: Beschrijf de taken, verantwoordelijkheden, positie in de organisatie, mandaat, uitdagingen, etc.
- Een salaris aanbieden waar een ervaren ISO niet warm van wordt. Tip: Je kunt beter zeggen “op basis van kennis en ervaring” dan meteen een maximum opgeven waardoor je niet eens in gesprek komt met een kandidaat.
- Alleen eisen stellen, zonder iets over de organisatie zelf te vertellen. Tip: Geef een realistische beschrijving van de organisatie. Vermijd dus gemeenplaatsen en ronkende reclameteksten, en geef aan waarom de organisatie een excellente ISO nodig heeft.
- Onmogelijke eisen stellen. Laten we eerlijk zijn, een schaap met negen poten bestaat niet. Iemand die firewalls configureert, pentesten uitvoert, SAP-autorisaties inricht, audits voorbereidt en begeleidt, als privacy officer optreedt, beleidsstukken schrijft, en risicomanagementrapportages opstelt vind je niet. Tip: Wees realistisch in je eisen, baken de taken goed af, en biedt ruimte om te groeien. Dat maakt een vacature interessant.
- Het vissen uitbesteden aan een recruiter die de ISO-vijver niet kent, of niet voldoende kennis heeft van jouw organisatie/branche. Als de recruiter al contact krijgt met een kandidaat, haakt die alsnog af. Goede recruiters zijn relatief duur omdat ze de tijd nemen jouw behoefte in kaart te brengen en vervolgens te matchen op potentiële kandidaten. Slechte recruiters kosten alleen geld. Ze komen waarschijnlijk met meer kandidaten, maar geen geschikte. Tip: Wees heel kritisch bij de selectie van een recruiter.
Lukt het alsnog niet om (tijdig) een geschikte ISO te vinden, dan zijn er nog andere opties:
- Huur een consultant in die het werk tijdelijk uitvoert. Dat is relatief duur, maar het werk laten liggen kan heel riskant zijn, en dus nog duurder. Maak daarom een goede afweging van je risico’s, en selecteer een consultant die specifiek aan deze risico’s kan werken.
- Maak gebruik van een “ISO as a Service”. Daarmee krijg je niet één consultant, maar een dienst van waaruit een team van consultants op elk moment de gewenste kennis en ervaring kan leveren. Zo krijg je toch de negen poten bij elkaar. Ook dit is relatief duur (dus weeg je risico’s af), maar biedt meerwaarde ten opzichte van een “gewone” consultant.
Hoe word je zo’n schaap met negen poten?
Heb je zelf de ambitie om een excellente ISO te worden? Of geeft je werkgever je de gelegenheid om in die rol te groeien? Dan zijn er verschillende paden die je kunt kiezen.
- Zorg dat je relevante certificeringen krijgt. Dat zijn o.a. CISSP (Certified Information Systems Security Professional), CISM (Certified Information Security Manager), CISA (Certified Information Systems Auditor), CIPP/E (Certified Information Privacy Professional / Europe), CCISO (Certified Chief Information Security Officer), CCSP (Certified Cloud Security Professional). Je hoeft ze echt niet allemaal te hebben, maar drie is echt het minimum. Merk op dat een ISO geen product-specifieke certificeringen kiest.
- Volg relevante trainingen en masterclasses om je “soft skills” te verbeteren. Denk bv. aan persoonlijk leiderschap, onderhandelen, cultureel bewustzijn, teamwork, presentaties geven, omgaan met conflicten, emotionele intelligentie. Want om te excelleren zul je deze vaardigheden nog meer nodig hebben dan je harde vakkennis.
- Overweeg een traineeship bij een bedrijf dat jou kan opleiden en de kans geeft om praktijkervaring op te doen in projecten waarin informatiebeveiliging een grote rol speelt.
Hoe behoud je een excellente ISO?
Dat zou inmiddels duidelijk moeten zijn. Ik noem hier enkele belangrijke factoren, in willekeurige volgorde:
- Positie in de organisatie en mandaat
- Arbeidsvoorwaarden
- Uitdagingen
- Opleidingsmogelijkheden
- Taken en verantwoordelijkheden
- Vrijheid om invulling te geven aan de rol
- Waardering
Kortom, een excellente ISO is niet anders dan elke andere hoog opgeleide zeer bekwame professional, die weet wat die waard is.
- Technologie (134)
- Nieuws (70)
- 5G (67)
- Continuïteit (64)
- Security & Privacy (57)
- Agility (35)
- Podcast (34)
- Wendbaarheid (31)
- Klantcase (18)
- Webinar (18)
- Blog (16)
- Innovatie (13)
- Mission Critical (13)
- Healthcare (12)
- Overheid (12)
- AI (11)
- Cloud (9)
- Medewerker interview (8)
- Smart City (7)
- Video (7)
- OOV (5)
- Vervoer (5)
- Projectmanagement (3)
- Duurzaamheid (2)
- december 2024 (4)
- november 2024 (9)
- oktober 2024 (9)
- september 2024 (10)
- augustus 2024 (6)
- juli 2024 (9)
- juni 2024 (6)
- mei 2024 (3)
- april 2024 (9)
- maart 2024 (11)
- februari 2024 (4)
- december 2023 (2)
- november 2023 (4)
- oktober 2023 (3)
- september 2023 (3)
- juli 2023 (4)
- juni 2023 (3)
- mei 2023 (6)
- april 2023 (2)
- maart 2023 (5)
- februari 2023 (1)
- januari 2023 (1)
- december 2022 (1)
- november 2022 (2)
- oktober 2022 (3)
- september 2022 (3)
- augustus 2022 (3)
- juli 2022 (8)
- juni 2022 (6)
- mei 2022 (4)
- april 2022 (5)
- maart 2022 (4)
- februari 2022 (5)
- januari 2022 (2)
- november 2021 (2)
- oktober 2021 (1)
- september 2021 (3)
- augustus 2021 (2)
- juli 2021 (1)
- juni 2021 (1)
- mei 2021 (1)
- april 2021 (3)
- maart 2021 (1)
- februari 2021 (1)
- november 2020 (1)
- augustus 2020 (1)
- juli 2020 (2)
- mei 2020 (2)
- april 2020 (4)
- maart 2020 (5)
- februari 2020 (3)
- januari 2020 (5)
- december 2019 (2)
- november 2019 (3)
- oktober 2019 (5)
- september 2019 (1)
- augustus 2019 (3)
- juli 2019 (2)
- juni 2019 (3)
- mei 2019 (2)
- april 2019 (4)
- maart 2019 (8)
- februari 2019 (6)
- januari 2019 (3)
- december 2018 (4)
- november 2018 (2)
- oktober 2018 (10)
- september 2018 (6)
- augustus 2018 (8)
- juli 2018 (2)
- juni 2018 (7)
- mei 2018 (3)
- maart 2018 (3)
- februari 2018 (3)
- januari 2018 (3)
- december 2017 (6)
- november 2017 (5)
- oktober 2017 (5)
- september 2017 (5)
- juli 2017 (1)
- juni 2017 (4)
- mei 2017 (1)
- maart 2017 (9)
- februari 2017 (1)
- januari 2017 (1)
- december 2016 (1)
- oktober 2016 (2)
- september 2016 (2)
- augustus 2016 (6)
- juli 2016 (1)
- juni 2016 (3)
- mei 2016 (2)
- april 2016 (3)
- maart 2016 (3)
- januari 2016 (1)
- december 2015 (1)
- november 2015 (2)
- oktober 2015 (1)
- september 2015 (2)
- augustus 2015 (1)
- juli 2015 (1)
- juni 2015 (2)
- mei 2015 (2)
- maart 2015 (2)
- februari 2015 (2)
- juni 2014 (1)