Veel beginnende en ervaren security officers zullen dit wel herkennen; je hebt er alles aan gedaan om veel te leren over informatiebeveiliging, en je start in je rol bij een nieuwe organisatie. Vol goede moed ga je aan de slag, want jij hebt immers de taak om deze organisatie te gaan redden van al het kwaad van het internet. Dat vindt natuurlijk iedereen super belangrijk en daarom zul je heel snel hele mooie stappen kunnen maken.
En dan is daar de realiteit. Informatiebeveiliging is héél belangrijk, maar de business of andere doelen van de organisatie zijn dat ook. Zeker voor de stakeholders die wat minder thuis zijn in informatiebeveiliging zijn jouw inhoudelijke beredeneringen moeilijk te volgen en niet bepaald interessant. Voel je hierdoor niet gedemotiveerd, want ondanks deze kleine tegenslag kun je met een aantal aanpassingen in je eigen visie en gedrag alsnog heel erg veel gaan bereiken. Dat kunnen wij als bedrijf met een Security Officer As A Service dienstverlening vanuit onze ervaring echt beloven.
Onderstaande tips helpen jou en de organisatie beter en meer gestructureerd vooruit;
- Als je ergens nieuw binnenkomt loop je ongetwijfeld tegen zaken aan die niet op orde zijn. Ga echter niet meteen rennen en allerlei maatregelen implementeren die je handig lijken. Leer juist eerst meer over de 'risk appetite'; wat is nou echt belangrijk voor de organisatie en tot op welk niveau worden risico's geaccepteerd. Pas daarna kun je aan de slag gaan met het in kaart brengen van de risico's en deze structureel gaan verminderen.
- Je kunt niet alles weten. Veel mensen denken dat een security officer een schaap met 5 poten is en je daarom op alle vlakken diepgaande kennis hebt. Dit is niet realistisch en nog belangrijker; niet nodig om je rol goed uit te kunnen voeren. Het is veel belangrijker dat je de juiste expertise op de juiste momenten weet te vinden. Besteed dus tijd aan het bouwen van je netwerk zodat je altijd meteen weet waar je terecht kunt als je diepgaande inhoudelijke informatie nodig hebt.
- Schrijf en communiceer in gewone mensentaal. Vaak rapporteer je aan mensen met minder technische en/of inhoudelijke kennis dan jij. Het heeft dus niet altijd zin om je keuzes op een heel diep niveau te onderbouwen. Zorg dat mensen niet afhaken in je verhaal maar wees duidelijk en bondig over het risico, de gevolgen en de implicaties van de oplossing die je voorstelt.
- Neem je tijd. Die heb je nodig om erachter te komen wat er allemaal aanwezig is in de organisatie aan maatregelen, tooling, kennis. Besteed je tijd aan het uitzoeken van deze informatie om het later te gebruiken om de goede keuzes te maken voor de organisatie.
- Neem belangrijke beslissingen nooit alleen. Je kunt je kennis toepassen om de organisatie zo goed mogelijk te adviseren over de stappen die ze kunnen nemen, maar het is enerzijds niet aan jou om te bepalen wat belangrijk is voor de gehele organisatie, en anderzijds is het ook belangrijk voor de betrokkenheid dat je stakeholders meeneemt in wat er allemaal gebeurt.
Hopelijk helpen deze adviezen je om goed 'van de kant' te gaan in je nieuwe rol als security officer. Mocht jij of je organisatie nu toch behoefte hebben aan meer kennis en ervaring op het gebied van informatiebeveiliging en de rol van security officer, dan staat PuraSec graag voor je klaar!
En wil jij deze organisaties met jouw kennis helpen op het gebied van informatiebeveiliging, kijk dan eens bij onze vacatures.
Risk assessmentHet is niet eenvoudig om te bepalen wat er nodig is om je organisatie te beschermen tegen diverse risico’s op het gebied van informatiebeveiliging zoals ransomware aanvallen, phishing of het stelen van data door criminelen. Inzicht in risico’s en de relatie met de doelstellingen van de organisatie zijn essentieel om de juiste acties te definiëren en prioriteiten te bepalen. Een risk assessment helpt met het verkrijgen van dit inzicht zodat gestart kan worden met het verbeteren van de informatiebeveiliging, op een manier die bij de organisatie past.
ISO 27001Een goed beleid is de basis voor het op orde krijgen van je cybersecurity. Het is belangrijk dat het beleid is afgestemd op de risico’s maar ook de werkwijze van je bedrijf. Zo zorg je dat processen en procedures daadwerkelijk hun doel dienen en ook worden toegepast.
Security officer as a serviceJe kunt veel expertise inhuren voor zowel de korte als de lange termijn, maar het belangrijkste is om ook binnen je eigen organisatie zoveel mogelijk kennis te borgen. Daarmee wordt de organisatie weerbaarder en kunnen onderbouwde keuzes worden gemaakt op het gebied van cybersecurity.
PentestenVeel problemen kunnen worden voorkomen door het goed inregelen van de technische beveiliging binnen een organisatie. Het is hierbij belangrijk om rekening te houden met de risico’s van de organisatie en na te denken over realistische aanvalsscenario’s. Vervolgens kan een goed plan worden gemaakt om hier maatregelen tegen te treffen en deze te testen.
