Naarmate de hoeveelheid gegevens die bedrijven verzamelen blijft toenemen, neemt ook de noodzaak toe om die gegevens te beschermen tegen beveiligingsrisico’s. Een security officer is verantwoordelijk voor de beveiliging van de gegevens van een organisatie. Hij ontwikkelt en implementeert beveiligingsbeleid en -procedures, en houdt toezicht op de naleving van dat beleid door de organisatie en kan werknemers trainen in het veilig houden van gegevens. Bovendien kan een security officer toezicht houden op veiligheidsbedreigingen en reageren op eventuele incidenten. Ze werken ook aan het opsporen en oplossen van zwakke plekken in de beveiliging. Daarnaast kunnen ze verantwoordelijk zijn voor het onderzoeken van beveiligingsincidenten en de coördinatie met de rechtshandhaving.
Een Security Officer wordt ook wel beveiligingsfunctionaris, Functionaris Informatiebeveiliging of Chief Information Security Officer (CISO) genoemd.
Organisaties die een ISO 27001 of NEN 7510 managementsysteem hebben ingevoerd (en gecertificeerd) zijn verplicht om een Security Officer aan te stellen, in functie of als taak.
Voor organisaties die gecertificeerd zijn voor NEN 7510:2017 is het verplicht om een Security Officer als volwaardige functie aan te stellen. Anders ben je als bedrijf niet verplicht deze functie aan te stellen.
Wat zijn de taken?
De dagelijkse taken van een information security officer kunnen bestaan uit het doornemen van beveiligingslogs, het controleren van netwerkverkeer en het installeren van beveiligingsupdates.
Denk onder andere aan:
- Ontwikkelen en uitvoeren van beleid en procedures voor informatiebeveiliging
- Coördineren en uitvoeren van beveiligingsaudits
- Controleren van netwerkactiviteiten op inbreuken op de beveiliging
- Beveiligingsincidenten onderzoeken
- Reageren op inbreuken op de beveiliging
- Beveiligingstraining geven aan werknemers
- Toezien op naleving van beveiligingsbeleid en -voorschriften
Wat zijn de verantwoordelijkheden?
Over het algemeen kun je zeggen dat een Security Officer verantwoordelijk is voor:
- De interne coördinatie van het ISO-Beheer van de organisatie.
- Het onderhouden van contacten met het management over ontwikkelingen, status en verbeterpunten op het gebied van informatiebeveiliging.
- Het informeren, communiceren en adviseren over beveiligings onderwerpen. Ook volg je actuele wet- en regelgeving, normen en standaarden, contractuele eisen en resultaten van risicoanalyses en gebruik je deze als uitgangspunt voor de beveiliging van de organisatie.
- Adviseren over technische en organisatorische maatregelen met betrekking tot informatiebeveiliging.
- Aanspreekpunt zijn voor het bespreken van incidenten, klachten en zorgen van management en medewerkers.
- Beoordelen en goedkeuren van verzoeken om buiten de vastgestelde procedures voor informatiebeveiliging te werken (zoals thuiswerken), vaststellen van protocollen hiervoor, en toekennen van toegangsrechten buiten de vastgestelde autorisatiematrices.
Hoe word je een security officer?
Er zijn verschillende mogelijkheden om jezelf hiervoor op te leiden. Bij Dxfferent hebben wij een security officer online training en deze gemaakt door een Jasper van Horssen, een ISO auditor. Deze security officer training is bedoeld om organisaties te helpen hun informatie en systemen te beschermen tegen ongeoorloofde toegang of diefstal. De cursus behandelt onderwerpen als risicobeheer, reactie op incidenten en beveiligingscontroles. Door deze training leer jij alle theorie die nodig is om je te laten omscholen tot Security Officer. Lees hier meer!
