Het werk van de Chief Information Security Officer (CISO) kan een eenzame functie zijn, zeker wanneer de functie door één persoon in één organisatie wordt uitgevoerd. Dat geldt niet voor het driemanschap Robert Yntema, Henny Rose en Willem Bal. Samen vervullen zij de CISO-rol voor de Regionale ICT-Dienst Utrecht (RID). Een bijzondere constructie; niet in de laatste plaats door de combinatie van hun achtergronden.

Robert Yntema, Henny Rose en Willem Bal

Door: Quita Hendrison

De drie werken voor de Regionale ICT-Dienst Utrecht (RID). De RID is de ICT-partner voor de gemeenten De Bilt, Soest, Utrechtse Heuvelrug, Bunnik, Baarn, Wijk bij Duurstede en Regionale Sociale Dienst Kromme Rijn Heuvelrug. Vanuit die samenwerking, en met de groeiende aandacht voor informatieveiligheid, is het logisch om ook de CISO-rol voor de hele club te organiseren. Eén CISO per – kleine – gemeente is te veel, luidt de pragmatische reden. Samen kun je meer, is het meer inhoudelijke argument. "We zitten over de hele linie binnen de overheid in een ontwikkeling waarin de slagkracht van de CISO toeneemt", trapt Yntema af. "Tegelijkertijd neemt hier in de regio neemt het gezamenlijke denken toe. Gemeenten doen in essentie allemaal hetzelfde. Dus kunnen we de informatiebeveiliging ook op zelfde manier regelen. Daarmee is overigens niet gezegd dat dat overal even soepel ontvangen wordt. Je hebt te maken met de historie van gemeenten, met couleur locale; niet elke gemeente laat dat even makkelijk los."

CISO is een vak

Het doel is de beste dienstverlening te bieden aan de burgers; de basis is de visie op informatieveiligheid, de voorwaarde is ruggensteun van de bestuurders zodat de benodigde middelen beschikbaar zijn. "En voor de rest is het vooral een kwestie van doen, CISO zijn is een vak, zoals bakker zijn een vak is", stelt Henny Rose. Hij is vanwege zijn opleiding misschien wel het opvallendste teamlid. Rose is namelijk van huis uit HR-man, niet de meest voor de hand liggende achtergrond voor een CISO. Maar juist de diverse achtergronden van de drie maken het team sterk: Yntema uit de IT-hoek, Rose vanuit de gedragswetenschappen en Bal met een economisch juridische achtergrond. En daarnaast werken ze nauw samen met de Thiemen den Hollander, de TISO (technical-orientated CISO). Bal: "Dat was aanvankelijk even zoeken met z'n vieren, maar inmiddels groeien we toe naar een hecht team. Robert weet vanuit de technologie diep op de juiste vragen in te gaan, Henny weet vanuit communicatie en changemanagement hoe je met bestuurders en andere collega's moet omgaan in een veranderproces, ik ken de gemeentelijke beleidskaders heel goed." Naast hun afzonderlijke expertise hebben de mannen uiteraard de skills die een CISO nodig heeft. Robert: "In die zin zijn we onderling inwisselbaar. Maar we zijn elk ook vast aanspreekpunt voor bepaalde gemeenten en in ons gemeenschappelijke beleid nemen we ieder de lead op specifieke dossiers."

Ten dienste van de business

Het professioneel neerzetten van de CISO-rol in zo'n bijzondere setting vraagt tijd en aandacht. Ook al is er een aantal ijzersterke argumenten zoals kostenbesparing, een sterkere positie ten opzichte van leveranciers, sneller kunnen doorontwikkelen, meer efficiency. Bal: En voor onszelf is het een voordeel dat we met elkaar kunnen sparren. We zijn een zelfsturend team, maar wel met een duidelijke verantwoordelijkheid richting bestuurder: wij adviseren hoe we de informatieveiligheid het beste kunnen inrichten, de bestuurder beslist. Waarbij we uiteraard vanuit het normenkader van de BIO werken. En altijd ten dienste van de business. Informatieveiligheid is immers van de business, dus hebben we de mensen van wie die business is, de proceseigenaren, nodig. Zij zijn onze voelsprieten. Rose: "Maar wij weten wat er nodig is om die informatieveiligheid optimaal te borgen. Als CISO moet je bovendien weten wie je waarop aanspreekt en vragen van de business binnen je eigen professionele kader oppakken. En vooral luisteren, en die vragen naar de andere gemeenten in de regio brengen. Verder groeien naar een volwassen en gelijksoortige informatiebeveiliging en het waarborgen van de dienstverlening aan burgers en organisaties in onze regio;  dat is de stip aan de horizon."

Mentaal inkopen

"We zijn er nog niet; ons werk is nu nog te veel incident- en compliancygedreven", constateert Bal. "Dat zit een beetje in de gemeentelijke organisatiecultuur en dat maakt ons vak lastig." Yntema: "We zijn allemaal volop aan het leren. Begrijpen steeds beter dat het om in control zijn gaat, om risico's in kaart te brengen. We leren van incidenten zoals die in Lochem, we zien met z'n allen het belang van bewustwording en informatieveiligheid op de bestuurlijke agenda. En met ons diverse team kunnen we de kloof tussen bestuur en IT overbruggen; wij hebben de taal en de expertise om IT uit te leggen aan het bestuur en aan de IT'er wat een besluit betekent voor de organisatie."

Een driekoppig team dat werkt voor zeven organisaties: dat vraagt niet alleen om structuur ("we hebben vaste overlegmomenten") , maar ook om de expliciete bereidheid om het samen te willen doen. "Je moet je mentaal willen inkopen in het team. Dan profiteer je optimaal van elkaar én dat is winst voor de gemeenschap. Daar gaat het uiteindelijk om: de beste en veilige dienstverlening voor onze inwoners."