Als security officer van een kleine tot middelgrote organisatie heb je vaak te maken met een zekere ‘tweepettenproblematiek’: je bent it-manager én security officer. Die rollen staan soms op gespannen voet met elkaar. Dat komt het informatiebeveiligingsproces niet ten goede en is niet altijd prettig voor jezelf. Als een voltijds security officer of security team voor de organisatie een stap te ver is, dan is uitbesteding van het security management een goed alternatief.
De twee-pettenproblematiek komt vooral voor bij organisaties voor wie informatiebeveiliging belangrijk genoeg is om serieus aandacht te krijgen, maar zelf niet groot genoeg zijn om een voltijds security officer of security team in dienst te hebben. Vaak krijgt de ict-manager of een senior systeembeheerder de rol van security officer naast zijn reguliere functie toebedeeld. Soms een controller, die de bijhorende werkzaamheden dan vaak weer delegeert aan de voornoemde ict-manager of senior systeembeheerder.
Nadelen als nevenfunctie
De situatie waarbij informatiebeveiliging een nevenfunctie of rol is en ook nog in de ict-hoek terecht komt, heeft een paar nadelen.
Het eerste nadeel is dat van prioriteitstelling. Meestal wordt er geen of weinig tijd expliciet gereserveerd voor informatiebeveiligingswerkzaamheden. Wat heeft dan prioriteit? De exchange migratie of die awarenesscampagne? En wie maakt die afweging, security officer en ict-manager zijn immers één en dezelfde persoon. Voor je het weet beland je in een schizofreen rollenspel met jezelf.
Een ander nadeel betreft scoping en reikwijdte. Het ict-aspect van informatiebeveiliging is erg belangrijk, maar niet het enige. Er zijn ook aspecten die meer raken aan de bedrijfsvoering of aan de personele kant. Je kunt je afvragen of je vanuit de ict-hoek die aspecten toereikend kan raken. Enerzijds omdat je er waarschijnlijk minder affiniteit mee hebt. Anderzijds omdat de organisatie het wellicht lastig vindt om bemoeienissen op die vlakken vanuit de ict-hoek te accepteren.
Ook is het verwerven en op peil houden van de benodigde kennis vaak een probleem. Er is relatief weinig tijd beschikbaar voor het onderwerp informatiebeveiliging, en het onderwerp is erg breed. Dat maakt het moeilijk voor de ict’er-met-bijbaan om tegemoet te komen aan de behoeften van de organisatie. En omdat de organisatie in grote lijnen zich juist vaak afhankelijk opstelt ten opzichte van de security officer, ligt het risico van schijnveiligheid op de loer. De organisatie denkt ‘het is geregeld, we hebben een specialist die ons veilig maakt en houdt’. De ‘specialist’ in kwestie weet vaak dat hij een heleboel niet weet en ziet de bui al hangen als er een keer toch iets mis gaat.
Oplossing
De grote vraag is natuurlijk: hoe los je dat nou op? Het voor de hand liggende antwoord ‘richt een sterk security team in’ brengt ons hier niet verder. Dat past gewoon niet binnen het soort organisaties waar deze problematiek speelt.
Uitbesteden is dan een logische vervolgstap. Natuurlijk wordt er al veel uitbesteed door de deeltijd-security officer. Bijvoorbeeld door het laten uitvoeren van penetratietesten of door het inhuren van een specialist voor een bepaald project. Maar dan gaat het eigenlijk om het inkopen van bouwblokken. Het is nog steeds de uitdaging van de deeltijd-security officer om daar een beveiligingshuis van te metselen. Dan komen alle eerder genoemde nadelen weer om de hoek kijken.
Voor en nadelen
Als je het security management uitbesteedt aan een gespecialiseerde organisatie vang je de genoemde nadelen op. De prioriteitstelling is geen probleem meer. De sourcingspartner die het security management invulling geeft heeft maar één aandachtsgebied en prioriteit: beveiliging. Ze hoeft geen lastige afwegingen te maken tussen tegenstrijdige aandachtsgebieden.
Scoping, reikwijdte en kennis zijn ook geen probleem meer. Omdat de sourcingspartner zich volledig toe heeft gelegd op informatiebeveiliging en dat voor veel organisaties doet, kan zij het zich veroorloven over de volle breedte voldoende diepgang op te bouwen. Ook komen daar de voordelen van kruisbestuiving bij. Wat is ervaren en geleerd in organisatie A kan ze meebrengen naar organisatie B en omgekeerd. Een ‘eenzame’ security officer bij één organisatie heeft daar nauwelijks de mogelijkheid toe.
Natuurlijk zijn er bij uitbesteding van security management ook voetangels. Een belangrijke is dat de investering die gedaan wordt in een goede beveiliging duidelijk zichtbaar wordt voor de organisatie. Dat vraagt om een goede verantwoording van de noodzaak om het proces informatiebeveiliging goed in te regelen. Enerzijds is dat natuurlijk juist sterk, anderzijds kan het een drempel zijn.
Een ander aandachtspunt is dat er duidelijke, expliciete afspraken gemaakt moeten worden over de wederzijdse verantwoordelijkheden en vorm van samenwerking. Ook dat is weer een ‘blessing in disguise’. Enerzijds is het heel logisch dat je dat doet, anderzijds vraagt dat een zekere volwassenheid op het gebied van informatiebeveiliging die in mijn ervaring niet altijd vanzelfsprekend is.
Uitbesteden maakt iedereen happy
Alles bij elkaar leidt uitbesteding van security management echter tot een betere invulling van het proces informatiebeveiliging dan bereikt kan worden door een (ict-)medewerker-met-bijrol. Voor de organisatie is dat beter en voor de medewerker in kwestie prettiger omdat hij zich weer volop kan wijden aan zijn primaire verantwoordelijkheid, zonder extra aap op de schouder.
Jeroen van Dongen, senior consultant en partner bij LBVD
Ik zie op computable steeds vaker de discussie opborrelen over de rol van security officer, security manager of CSO. Vind ik een goede ontwikkeling, want dan heeft dit de aandacht!
Het is bij dit soort opinie artikelen altijd een beetje oppassen met het wc-eend effect. Maar de probleemstelling is er wel. Organisaties die te klein zijn voor een full-time security officer/manager en die toch iets willen met een security rol in de organisatie zitten met een probleem. Wie beslist en wie voert uit zijn twee dilemma’s.
Ik vind dat de beslissingsrol op het gebied van security niet kan worden uitbesteed, maar intern bij een verantwoordelijke manager moet worden neergelegd. En dan liefst niet bij een ICT manager, maar bij de CIO of COO. Er moeten namelijk nogal wat belangen worden afgewogen (bijvoorbeeld: wanneer zetten we een website uit die onder aanval is door hackers?). En dat kan niet extern belegd worden. En ook niet te laag in de organisatie.
Daarnaast heeft een security officer een andere rol. Zoals het uitzoeken wat er aan de hand is, het adviseren van het hoger management of het coordineren van de uitvoering van de gekozen oplossing. En niet te vergeten: het inrichten van procedures rondom security. Deze taken kunnen prima bij een ICT manager worden neergelegd, of eventueel extern. In het eerste geval heb je het voordeel dat de ICT manager weet hoe de intern hazen lopen. In het tweede geval kan je leunen op specifieke security expertise.