Eerste CISO’s aan de slag met resultaten workshop “Adviseren van bestuur en management”

Op donderdag 16 november was de eerste workshopsessie in het kader van de CISO toolkit om gemeentelijke CISO’s, al of niet vergezeld van een eigen bestuurder te ondersteunen met handvatten om effectiever te worden binnen de eigen organisatie. Deze eerste sessie werd centraal in het land in Utrecht gehouden en is georganiseerd door VNG Academie samen met de IBD.

Ervaren CISO Jaap Halfweeg van de SVB verzorgde een introductie op basis van zijn ervaringen bij grote organisaties zoals KPN, APM terminals en nu de SVB. Hij gaf de aanwezigen 10 tips mee en had als bonustip “Misschien moeten CISO’s een salescursus gaan volgen” want je moet het iedere dag weer verkopen! Jaap geeft verder aan dat het handig is om een korte film op te nemen met de bestuurder die het belang onderstreept van informatieveiligheid in de organisatie. Dat kun je goed gebruiken bij bewustwording.

De workshop werd verzorgd door trainer Marcel Spruit. In de workshop kwamen de volgende vragen aan de orde:

  1. hoe overtuig ik mijn bestuurder
  2. verantwoordelijkheden van de gemeente binnen samenwerkingsverbanden
  3. bewustzijn en awareness
  4. de verhouding tussen de FG en de CISO

Aan de hand van stellingen werden de aanwezigen uitgedaagd en in de middag werd nader ingegaan op het adviseren van het bestuur met vraagstukken als, waarom ziet de bestuurder een risico anders dan de CISO? De deelnemende CISO’s kunnen met de besproken tips direct aan de slag binnen de gemeente waar zij werkzaam zijn.

De workshop wordt in de komende maanden nog drie maal verspreid over het land gehouden.

 

FAQ
Hoeveel FTE moet een CISO werken?

In een grote gemeente of een gemeente waar nog veel verbeterslagen te behalen vallen kan er gekozen worden voor een fulltime CISO. Deze functie kan aangevuld worden met verschillende losse information security officers (ISO’s of DSO’s) binnen de organisatie. Het aantal FTE voor een CISO zal per gemeente dus verschillen.
Bij kleine gemeenten kan deze rol ook in deeltijd uitgevoerd worden, waarbij het ook mogelijk is om dit te combineren met een fulltime aanstelling over verschillende gemeenten in een regionale opzet.

Zie ook:
Handreiking IB-functieprofiel Chief Information Security Officer (CISO)

Kan de CISO en de FG een en dezelfde persoon zijn?

De combinatie CISO en FG is niet de meest ideale situatie, maar in wat kleinere organisaties soms wel een werkbare situatie, mits er een ‘veilige cultuur’ bestaat. Er kan als alternatief ook gekeken worden naar een FG voor meer gemeenten. Let op dat de drie bestuursorganen van de gemeente (de burgemeester, het college en de raad – art.6 gemeentewet) allemaal een FG moeten aanstellen – liefst natuurlijk gezamenlijk.

NB. De autoriteit persoonsgegevens heeft hierover nog geen officieel standpunt ingenomen. Het kan zijn dat de toezichthouder deze combinatie zal ontraden.