CISO-as-a-Service: IT als organisatiegedragen geheel

SOMA Bedrijfsopleidingen én SOMA College hebben al heel veel geregeld op het gebied van IT en cybersecurity. Maar alles op één plek hebben staan, inzicht krijgen in je IT, en grip krijgen op cyberrisico’s, dat vraagt om veel tijd en vooral specifieke expertise. Samen met Albertho, op basis van CISO-as-a-Service, bracht SOMA haar cybersecurity én IT naar een hoger niveau. Hoe deden zij dat? Hoe is dat project opgestart en waar liggen de grootste uitdagingen? Ronald, SOMA Bedrijfsopleidingen, en Niels, SOMA College, vertellen.

Wie zijn jullie en wat is jullie rol binnen SOMA? 

Niels: “Mijn naam is Niels te Lintelo. Ik ben begonnen als ICT-coördinator binnen het SOMA College om de IT op te vangen, waaronder ook het normenkader.”

Ronald: “En ik ben Ronald Ham. Ik werk bij SOMA Bedrijfsopleidingen als Manager Bedrijfsvoering en vanuit die rol ben ik verantwoordelijk voor de financiële administratie, het servicebureau en de interne processen.”

“Op die manier is dat IT-feestje-verhaal steeds minder gaan spelen. Het is een meer organisatiegedragen geheel geworden.”

• Niels te Lintelo, Teammanager Servicepunt & ICT bij SOMA College

Wat is het startpunt geweest voor CISO-as-a-Service?

Ronald: “De vraag die wij aan Innvolve hebben gesteld, is dat wij inzichtelijk willen hebben wat ons IT-landschap inhoudt. Wij hebben heel veel geregeld, maar we hebben niet één locatie waarop we alles hebben staan wat we geregeld hebben. We willen eigenlijk veel informatie samenvoegen. Daarbij willen we ook uitbreiden met extra profielen aanmaken, zodat we op gebruikersniveau rechten en plichten kunnen inrichten.”

Niels: “Wij moeten voldoen aan 69 statements, want zo wordt de Cybersecurity gemeten. En wij doen eigenlijk al een hele hoop, maar we hebben niet zoveel beschreven of datgene wat beschreven is, dat is wat verouderd. Met die uitvraag zijn er een aantal gesprekken geweest met Innvolve, en is Albertho bij ons aangesloten om te helpen met het opstellen van beleid.”

Waarom hebben jullie voor Innvolve gekozen?

Ronald: “We hebben veel projecten met Innvolve gedaan in het verleden, en daaruit is altijd gebleken dat jullie een betrouwbare partij zijn die goed met ons meedenkt.”

Niels: “Inderdaad. Voormalige projecten die we hebben uitgezet bij Innvolve zijn in zo’n hoge kwaliteit neergezet. Daar wilden we heel graag op door gaan, ook door de manier waarop we daarin begeleidt zijn. Dus we hebben eigenlijk gevraagd: “kunnen of hebben jullie wat op deze dienstvraag?”. En zo is voor het normenkader Innvolve aangehaakt.”

Wat was tot nu toe de aanpak van dit traject?

Ronald: “Op dit moment zijn wij nog in de startfase van het project. Samen met Albertho hebben we onze wensen in kaart gebracht en gezegd wat we al wél hebben en wat we nog niet hebben. En ook het uiteindelijke doel wat er moet zijn als het product opgeleverd moet worden. We hebben uitgesproken wat we allebei voor ogen hebben en gekeken of dat met elkaar overeenkomt.”

Albertho: “Ik ben Albertho Bolenius. Bij Innvolve ben ik CISO: Chief Information Security Officer. Ik houd me voornamelijk bezig met governance en tactisch en strategisch nadenken over security. De uitdaging hier bij SOMA is om ze te helpen helemaal tot standaard te komen op het gebied van security.”

Wat is de toegevoegde waarde van Innvolve hierin?

Niels: “Het voordeel zit hem in de beleidskennis, op tactisch niveau. Hoe zet je goede documenten op papier? Hoe werk je processen uit? Hoe hou je ze goed up-to-date? Daar heb je eigenlijk de tijd niet voor. De CISO van Innvolve helpt ons daar heel goed bij door met ons in gesprek te gaan en gebruik te maken van zijn kennis en bestaande templates. Zo halen we met minimale contacturen een maximaal rendement. Op die manier verbeteren en professionaliseren wij onze hele IT-dienstverlening een stukje. En voldoen we natuurlijk aan het normenkader.”

Ronald: “Voor SOMA Bedrijfsopleidingen geldt dat wij vanuit de sector geen aanvullende wet- en regelgevingen hebben waar wij aan moeten voldoen. Albertho heeft ons wél geholpen om algemene richtlijnen erbij te pakken zodat we toch een maatstaaf hebben waar we onszelf aan kunnen meten. We willen graag voldoen, maar ook vooruitlopen. We zijn nu dus al een stapje verder dan wat ons gevraagd wordt.”

Niels: “Ik krijg vanuit het MT onwijs veel positieve geluiden. Er komen mooie documenten hun kant op, waardoor wij ons portaal beter kunnen vullen en de organisatie kunnen instrueren. Zo hebben we gesprek van onderwerp met zowel het MT als de hele organisatie.”

Waar zijn jullie tot nu toe het meest trots op?

Albertho: “Dat we samen heel snel hebben kunnen schakelen en het beleid door het hoger management is goedgekeurd. Dat we ook snel prioriteiten hebben kunnen stellen en het IT-proces inzichtelijk hadden. Want dat was echt cruciaal voor het traject, en daar ben ik heel trots op.”

Ronald: “Je hoort nog wel eens dat een school gehackt wordt. Dat is natuurlijk nooit helemaal te voorkomen, maar wij doen er op deze manier wel alles aan om het risico zo beperkt mogelijk te houden.”

Niels: “Ik ben het meest trots op hoe iedereen aangehaakt is en blijft. Op die manier gaat dat IT-feestje-verhaal steeds minder spelen. Het wordt veel meer een organisatiegedragen geheel!”