CaaS: CISO as a Service

Met Ciso as a Service flexibele (be)sturing van informatiebeveiliging

Informatiebeveiliging, tegenwoordig steeds vaker cyber security genoemd, is niet meer weg te denken uit organisaties. Organisaties willen en moeten vandaag de dag beschikken over voldoende kennis, capaciteit en organisatiestructuur om het brede palet aan uitdagingen aan te kunnen.
Alleen een afgewogen inzet van informatiebeveiliging minimaliseert de risico’s zonder een belemmering voor het zakendoen te vormen. Centrale aansturing door een ter zake kundige CISO, Chief Information Security Officer, die in staat is in de taal van alle betrokkenen (RvB, Business Managers en medewerkers, IT-Managers en medewerkers) te spreken betekent de basis voor een gedegen aanpak, die door alle partijen wordt ondersteund. Er ligt een grote marktdruk op ervaren krachten, Traxion kan deze realiteit niet veranderen. Wat wij wel kunnen is de bestaande expertise zo efficiënt mogelijk inzetten. Daarvoor hebben wij de CaaS formule bedacht: CISO as a Service.

Wanneer schakelt u Traxion in?

  • Uw organisatie is niet groot genoeg om fulltime een eigen, vaste CISO te hebben.
  • De CISO die operationele taken weet te combineren met beleidsmatige taken is niet te vinden.
  • De tijd van de Security Officer gaat in de praktijk vooral op aan het blussen van brandjes: structurele verhoging van het securityniveau blijft daardoor achter.
  • Het inregelen van, en het compliant worden en blijven aan, een normenkader zoals ISO27001 verloopt volgens een niet gecontroleerd proces.
  • Het overbruggen van de communicatiekloof tussen IT en wettelijke bepalingen, vormt een moeizame uitdaging.
  • U twijfelt of uw organisatie de nieuwste bedreigingen adequaat analyseert, en met een gedegen risicoanalyse toetst of uw risicobereidheid niet wordt overschreden.

 

CaaS met ervaring en ondersteunende tools

Met CaaS garandeert Traxion u van een CISO,flexibel inzetbaar op basis van een Service Level Agreement. Deze functie kan op de volgende manieren worden ingevuld:

  •  Traxion medewerker;
  •  kracht uit de flexibele schil van Traxion;
  •  medewerker van de eindklant.

Een Traxion CISO werkt voor meer dan één  klant en maakt deel uit van een poel van CISO’s, die onderling regelmatige hun kennis over het vakgebied uitwisselen. Met CaaS beschikt de CISO over kennis en tooling van Traxion en derde partijen om gestructureerd,planmatig en gecontroleerd de boven- genoemdeaspecten binnen uw organisatie in te regelen.Daarbij wordt uitgegaan van een set business risico’s die, in samenspraak met uw organisatie, door de CISO opgesteld, afgestemd en vervolgens ter goedkeuring aan u wordt voorgelegd. Om een indicatie te krijgen van de status rondom informatiebeveiliging is de SAMM methodiek zeer bruikbaar. De Security Alignment Maturity Methodology is een toetsingskader voor de procesinrichting en handhaving van informatiebeveiliging. SAMM bevat een uitgewerkt procesmodel van het securitydomein, en kan gebruikt worden als aanvulling op de gebruikelijke kaders zoals ISO2700x. Met SAMM wordt het besturen van de beveiligingsoperatie eenvoudiger en wordt voorkomen dat de orde van de dag allesbepalend is.
Daarnaast wordt gebruik gemaakt van software met datasets van standaard normenkaders als ISO27001, BIR en NEN7510, en checklists als MAPGOOD. Op basis van deze datasets worden risico-analyses uitgevoerd en acties gedefinieerd. De tool ondersteunt de CISO bij de implementatie van beveiligingsaspecten en het in control zijn.Hiermee is tevens de overdracht, in geval van bijvoorbeeld ziekte of vakantie, gewaarborgd.

De ervaren CISO aan het werk

Een door Traxion CaaS geleverde CISO is een door de wol geverfde informatiebeveiliger met minimaal tien jaar relevante ervaring in het vakgebied. De CISO is ervaren in meerdere deelgebieden: zowel operationeel (uitvoerend), als tactisch (besturend), als strategisch (sturend). Bovendien is deze ervaring verkregen in meerdere sectoren, wat onmisbaar is voor de vereiste helikopterblik.
De CISO is HBO+ of WO opgeleid en beschikt over ruimschoots voldoende anciënniteit om van de werkvloer tot en met de hoogste bestuurslagen te overtuigen. Daarnaast beschikt hij over specialistische certificeringen (CISSP, CISM, CISA, SSCP, e.d.) en de bredere relevante certificeringen (PRINCE2, ITIL, TMap, e.d.).
De CISO is communicatief ontwikkeld, zowel schriftelijk als mondeling. De grootste kracht hierbij is het voor de organisatie beslisbaar maken van alle moeilijke vraagstukken die telkens opduiken.
Bovenal is de CISO een organisator die zorgt dat de veelheid van deelgebieden en spelers de aandacht en capaciteit krijgen die nodig zijn. De CaaS zorgt er zelf voor dat de vakkennis van de gehele Traxion organisatie beschikbaar is en kan ingezet worden waar dat nodig is. En bovenal blijft de CISO in contact en in gesprek met alle betrokkenen om zo de benodigde taken gedragen te krijgen en geaccepteerd te houden binnen de organisatie. Security is ten slotte iets wat je samen moet doen.

Deze aanpak biedt u de volgende voordelen:

  • De CISO is onmiddellijk inzetbaar en bezit direct de juiste kennis en vaardigheden van bewezen methodes en standaarden.
  • Deze persoon heeft toegang tot specialistische kennis middels het brede portfolio van Traxion.
  • De CISO maakt informatiebeveiliging inzichtelijk, (be)grijpbaar – ook voor niet-specialisten – en daarmee bestuurbaar.
  • Traxion zorgt voor vervanging bij ziekte, verlof of vertrek.
  • De schaalbaarheid van deze functie is geborgd door de achterliggende organisatie.

Wilt u meer weten over het mogelijke takenpakket van de CaaS en onze werkwijze, download dan hier onze flyer of neem contact met ons op.