Als kmo een Chief Information Security Officer (CISO) huren
Roel Heymans - 13 oktober 2019
Waar grote bedrijven een CISO binnen het directiekader hebben met daaronder een volledige securityorganisatie, hebben veel kmo’s hiervoor het budget niet. En toch blijven de uitdagingen gelijkaardig. Ook kmo’s worden het slachtoffer van cyberaanvallen. Hoe bescherm je als bedrijfsleider je kmo tegen cyberaanvallen zonder zelf de kennis te hebben of een dure CISO aan te werven?
Wat doet een Chief Information Security Officer of CISO eigenlijk?
Deze persoon is binnen een bedrijf verantwoordelijk voor de visie en strategie rond informatiebeveiliging met als doel het adequaat beschermen van informatie assets en informatiesystemen. Tijdens de implementatie van de strategie worden processen ingevoerd om risico’s te identificeren en ze efficiënt te verkleinen.
Wat zijn de taken van een CISO?
Een CISO is verantwoordelijk voor het uitwerken van:
- IT-risicobeheer
- Cybersecurity
- Databeveiligingsbeleid
- Privacybeleid
- Business continuïteit, disaster recovery (DRP)
- Identity en Access Management (IAM)
- IT-controles om risico’s te verkleinen
- Een Security Operations Center (SOC)
Waarom een CISO huren?
Waar grote bedrijven een CISO binnen het directiekader hebben met daaronder een volledige security organisatie, hebben veel kmo's hiervoor het budget niet. En toch blijven de uitdagingen gelijkaardig. Ook kmo’s worden het slachtoffer van cyberaanvallen.
Hoe bescherm je als bedrijfsleider je kmo tegen cyberaanvallen zonder zelf de kennis te hebben of een dure CISO aan te werven? Hiervoor doe je een beroep op een flexibele freelance CISO.
Hoe gaat de flexibele CISO te werk?
Wanneer je een CISO inhuurt, zal deze beginnen met het opstellen van een Business Impact Analyse waarbij de assets van je bedrijf in kaart worden gebracht. Per asset wordt de impact ingeschat bij verlies van confidentialiteit, integriteit of beschikbaarheid.
Daarna zal hij een risicoanalyse uitvoeren. Hierbij worden alle risico’s in kaart gebracht met hun impact en waarschijnlijkheid. Het eindresultaat geeft een beeld op hoe groot het risico is en daaruit volgend, hoe groot de investering mag zijn om het risico weg te werken.
De strategie voor informatiebeveiliging is gebaseerd op de risicoanalyse waarbij voor elk risico wordt bepaald of vermeden, verminderd, getransfereerd of geaccepteerd wordt. Op basis van het beschikbare budget en de grootte van de risico’s, stelt de CISO een plan van aanpak op. Dit plan kan worden uitgevoerd door eigen medewerkers of door partners.
Tijdens de uitvoering van het plan, verlaagt de werklast van de flexibele CISO. Hij zal de vooruitgang van de werkzaamheden periodiek rapporteren aan het management en daarbij eventueel aanpassingen aanbevelen.