Security Officer is vaak een hondenbaan

Wat zijn nu precies de problemen voor een security officer? Het komt er op neer, dat er in feite drie deelproblemen zijn:

• De security officer moet een alleskunner zijn.
• Security officer is geen functie, maar een rol.
• Als de security officer voldoet aan zijn functieprofiel, is hij overgekwalificeerd om alleen operationele taken uit te voeren.

Alleskunner

Wat wordt er eigenlijk verwacht van een security officer? De security officer moet een persoon zijn die én alle facetten van informatieverwerking kan overzien in de organisatie én kan overzien welke impact deze informatie kan hebben op processen, mensen of derden. Uiteraard moet de security officer ook bekend zijn met alle relevante wet- en regelgeving. Daarnaast wordt nog verwacht dat hij/ zij verstand heeft van fysieke, technische en organisatorische beveiligingsmaatregelen en dus kan inschatten of afdoende maatregelen zijn genomen. Natuurlijk moeten ook de bedrijfsprocessen geen geheimen bevatten. Als laatste moet de security officer kunnen schakelen met hogere managementlagen en het informatiebeveiligingsbeleid tevens kunnen uitdragen naar alle uithoeken van de organisatie. Kortom, de security officer moet een duizendpoot en bruggenbouwer zijn, die liefst specialist is op zo’n 14 gebieden. Is het gek dat er niet veel organisaties zijn, die direct een dergelijk persoon in huis hebben?

Security officer is geen functie, maar een rol

Enerzijds moet een security officer in een organisatie rechtstreeks zaken doen met het hoogste management. Dit is immers eindverantwoordelijk voor de interne beheersing en dus ook voor informatiebeveiliging. Helaas bemoeit het hoogste management van een organisatie zich zelden met het risicomanagement. Daardoor kan er ook niet verwacht worden dat het keuzes maakt over hoe om te gaan met deze risico’s. Dat betekent dat de security officer niet aangestuurd wordt vanuit beleidsuitgangspunten.  En als beleidsuitgangspunten ontbreken, kunnen die ook niet uitgewerkt worden in maatregelen (de interne norm). Vaak wordt er dan gebruik gemaakt van standaard controls zoals bijvoorbeeld ISO 27002, de BIG of NEN 7510, zonder dat daarbij gekeken wordt of een maatregel nodig en wenselijk is.
Anderzijds moet de security officer bij de uitrol van de interne norm zaken doen met allerlei lijn- en stafafdelingen. Als de security officer zelf geparkeerd staat in een functie, dan kan hij zijn werk niet goed doen.
Kortom, security officer is een rol en door zijn persoonlijke kwaliteiten  en organisatievermogen kan de security officer invulling geven aan deze rol, daarbij niet gehinderd door de hiërarchie van de organisatie.

Functieprofiel security officer

Er zijn talrijke functieprofielen voor  een security officer. Meestal komt het in de buurt van het volgende lijstje:

• HBO/Academisch werk- en denkniveau
• Kennis en ervaring op het gebied van bestuurs-/bedrijfskunde en/of informatica
• Kennis van de actuele stand van zaken en mogelijkheden van ICT (besturingssystemen, netwerken, standaarden, ontwikkel- en beheermethoden)
• Kennis en ervaring op het gebied van informatiebeveiliging en risicoanalyse
• Kennis van de BIG of ISO 27001/2
• Kennis van specialistische beveiligingstechnieken, zoals encryptie
• Kennis en ervaring op het gebied van adviseren en organisatiekunde
• Kennis van technische infrastructuur samen met de business inschatting van de kwetsbaarheid
• Kennis en ervaring met projectmatig werken en projectmanagement.
• Goede communicatieve vaardigheden, zowel mondeling als schriftelijk
• Goed kunnen samenwerken met verschillende disciplines op verschillende niveaus
• Alert, initiatiefrijk, omgevingsbewust
• Integer
• Overtuigingskracht

Stel nu eens dat je binnen je organisatie iemand hebt, die voldoet aan het bovenstaande profiel. Is het dan niet zonde om deze persoon in de rol van security officer te duwen? Hij of zij kan toch veel meer betekenen voor de organisatie? Zo’n persoon belast je liefst niet met enkel allerlei operationele taken. Heel veel andere medewerkers kunnen die taken ook uitvoeren.

Hoe gaan organisaties hier in de praktijk vaak mee om?

In kleinere organisaties zien we dat de rol van security officer vaak ingevuld wordt door een directielid, ondersteund door een medewerker, die vooral de operationele zaken voor zijn rekening neemt. Dit is op zich een prima oplossing. Meestal  echter loopt een dergelijke invulling stuk op de werkelijkheid van alledag, waarin de aandacht van het directielid wordt opgeslokt daar allerlei meer urgente zaken. Alleen als het gaat om grote afwijkingen krijgt informatiebeveiliging weer aandacht en verder geldt: ‘Geen bericht is goed bericht’. Kortom,  informatiebeveiliging is niet structureel ingebed in een managementsysteem, maar heeft een adhoc karakter. Dat geldt zeker bij organisaties die net gecertificeerd zijn. Toen het ISO 27001 of NEN 7510 certificaat nog moest worden behaald, omdat dit een klanteis was, was aandacht van de directie verzekerd. Maar met het certificaat eenmaal op zak is het risico dat grote klanten weglopen of niet meer worden binnengehaald afgedekt. En alleen tegen de tijd dat de externe auditor weer langs zal komen voor de jaarlijkse controle, krijg het onderwerp weer even aandacht.
Bij wat grotere organisaties zien we veelal een meer structurele oplossing. Security officer is daar vaak een functie met een functieprofiel als boven beschreven. Alleen is een duizendpoot, die de security officer zou moeten zijn, meestal niet beschikbaar. Er wordt dan iemand aangezocht, die voldoende affiniteit heeft met het onderwerp en die vooral ook verstand heeft van ICT. Vaak zijn ruime budgetten beschikbaar om de kennis van deze persoon over informatiebeveiliging op peil te houden en de taakomschrijving van de security officer garandeert dat het ISMS (information security management system) in elk geval op operationeel niveau werkt, want de security officer implementeert de procedures en maatregelen op de werkvloer. Eigenlijk is hier maar één ding mis: het managementsysteem wordt niet gebruikt door het management om de risico’s te beheersen. Daar de security officer niet de vaardigheden heeft om deze situatie te doorbreken, droomt de organisatie verder en heeft de illusie, dat de informatiebeveiliging op orde is.

Hoe de rol van security officer dan wel invullen?

In beide voorgaande situaties kunnen we  dus constateren dat het managementsysteem niet adequaat werkt. Een managementsysteem moet toegevoegde waarde hebben. Als het dat niet heeft en er worden wel kosten gemaakt, dan is er in feite sprake van verspilling. Je moet er dan voor kiezen of om te stoppen met die poppenkast of daadwerkelijk toegevoegde waarde te realiseren. De rol van security officer is hierbij cruciaal. Natuurlijk is het ‘over the top’ er full time een ‘zware jongen’ op te zetten, die daadwerkelijk op directieniveau kan sparren en dingen kan bereiken om bedrijfsrisico’s te reduceren. Een beter idee is parttime zo’n security officer beschikbaar te hebben, iemand die zich dan wel dedicated bezighoudt met informatiebeveiliging. Dan is er ook niet  het risico dat urgentere zaken steeds prioriteit hebben boven de werking van het ISMS. Zo’n parttime security officer kan waar nodig is weerwerk geven aan de directie en kan er in elk geval voor zorgen, dat het managementsysteem daadwerkelijk waarde heeft door de echte bedrijfsrisico’s te reduceren, waarmee  verspilling dus wordt tegengegaan. Hij/ zij zorgt ervoor dat de goede dingen gedaan worden en delegeert operationele taken. Hij/ zij bemoeit zich met zaken als de interne audit, de directiebeoordeling en het kwartaaloverleg (maandoverleg) waarbij de informatiebeveiligingsissues en rapportages worden beoordeeld.
Om daadwerkelijk toegevoegde waarde te krijgen is het inhuren van een externe partij vaak handig. Voor zo’n externe partij is security dagelijkse werk. Die  kan putten uit eigen ervaring of de ervaringen van collega’s. Je zit dan als organisatie ook niet meer met de kosten van het up-to-date houden van de skills van de security officer. En echt, er bestaan mensen die het leuk vinden om deze hondenbaan dagelijks voor klanten uit te voeren!