Security Officer: aannemen of inhuren?

Triest maar óók de realiteit: cyberaanvallen vormen een directe bedreiging voor elk bedrijf, ongeacht de grootte. Dat betekent dat je je informatiebeveiliging op orde moet hebben. Een sterk plan, een strakke executie én solide monitoring van all things Security in je organisatie. Niet zo vreemd dus dat de rol van de Security Officer is uitgegroeid tot een cruciale pijler voor zo’n beetje elke organisatie. Iemand die niet alleen op de voorgrond treedt bij het afweren van cyberaanvallen, maar vooral zorgt voor naleving van steeds striktere eisen op het gebied van compliance. Die rust creëert rondom het thema informatiebeveiliging. Je voelt hem al aankomen: dat is een lastig én een gewild profiel. In dit artikel doen we daarom allereerst een stap terug: wil je zo’n Security Officer überhaupt aannemen, of ga je voor inhuren? We zetten de opties naast elkaar.

Het ideale profiel van een Security Officer

Inhuren of aannemen daargelaten, naar wie ben je op zoek? Cyber Security is elke dag aan nieuwe ontwikkelingen onderhevig. De ideale Security Officer blijft de ontwikkelingen liefst een stap voor. Dat betekent niet alleen de laatste ontwikkelingen volgen, maar ook interpreteren: wat is het effect binnen de context van jouw bedrijf? Kennis up to date houden én in de praktijk brengen dus.

Maar je wilt meer. De Security Officer begrijpt de complexe technische risico's niet alleen, hij of zij vertaalt deze ook nog eens naar begrijpelijke en uitvoerbare plannen voor de rest van de organisatie. De ideale Security Officer is daarmee de brug tussen technisch jargon en de praktische bedrijfsvoering. Hij of zij weet mensen mee te krijgen in veiliger werk.

De brugfunctie reikt nog verder. Een Security Officer moet als geen ander unieke bedrijfsbelangen grondig begrijpen en deze naadloos kunnen integreren met de beveiligingsstrategieën. Dat vergt strategisch inzicht. Bedrijfskundig inzicht. Wat dient zowel jouw bedrijfsbelang als de informatieveiligheid het meest? Dat spanningsveld begrijpen en ernaar kunnen handelen, is misschien wel de grootste superpower van een goede Security Officer.

Natuurlijk zijn daar technische vaardigheden en een grondige kennis van het IT-landschap voor nodig. De ideale Security Officer is bekend met een breed scala aan technologieën en kan deze kennis toepassen om de organisatie te beschermen tegen een breed spectrum aan bedreigingen. Van netwerkbeveiliging tot encryptie en van incident management tot disaster recovery: de technische expertise is de ruggengraat van je beveiliging.

Yes! We hebben een Security Officer in dienst!

Ja, er zijn zeker redenen tot blijdschap. Met een Security Officer in de gelederen, zijn de lijntjes kort en is de toegang tot de relevante kennis nagenoeg direct. Als bij een beveiligingsincident elke seconde telt, biedt een interne Security Officer de snelheid en efficiëntie die nodig zijn voor een snelle reactie en advies. De directe beschikbaarheid vermindert de reactietijd aanzienlijk en dat kan de impact van een incident beperken.

We zagen het al: dat begrip van jouw bedrijf met al je unieke processen en mensen, dat is een belangrijk aspect om grip te krijgen op je informatiebeveiliging. Een Security Officer die intern wordt aangenomen, leert de specifieke nuances en unieke behoeften van je bedrijf natuurlijk van binnen en buiten kennen. Dit maakt het mogelijk om beveiligingsstrategieën te ontwikkelen die niet alleen effectief zijn, maar ook naadloos aansluiten bij jouw specifieke bedrijfsvoering. Een sterke symbiose tussen beveiliging en bedrijfsdoelstellingen dus, waarmee een Security Officer zijn impact fors kan vergroten. Daar komt bij: als de Security Officer fulltime bij je rondloopt, heeft het onderwerp dus ook volop aandacht én is hij of zij ook meteen je wandelende stukje awareness rondom Cyber Security (“Psst, komt ie aan! Wel je werkplek even locken!”)

Balen! We hebben een Security Officer in dienst!

Om te beginnen is het eigenlijk maar de vraag of je een Security Officer in dienst krijgt. Het vinden van geschikte kandidaten is een gigantische uitdaging. Cyber Security Specialisten zijn zeer schaars. In de praktijk zorgt dat voor langdurig openstaande vacatures óf de noodzaak om compromissen te sluiten bij de selectiecriteria. En wat doe je ondertussen met alle mogelijke dreigingen? En in tijden van schaarste is er natuurlijk ook sprake van gekte: torenhoge wervingsfees óf vroegtijdige afscheidsborrel omdat je nieuwe collega alweer weggekaapt is met astronomische voorwaarden waar jij helemaal niet aan wilt beginnen.

Daarnaast kampen kleinere organisaties vaak met de werkuren voor een Security Officer. Een profiel met schaars maar vooral fulltime aanbod op de arbeidsmarkt, die je maar parttime in kunt zetten omdat je nog geen werkweek te vullen hebt. Of de andere kant op, door het inrichten van een duofunctie heb je een interne Security Officer die het vooral heel druk heeft met zijn of haar andere (lees: primaire) functie. Met alle gevolgen voor de hoeveelheid tijd die je Security Officer kan besteden aan preventie en respons

Er is ook nog een ander sluimerend risico. Je interne Security Officer kan slachtoffer worden van bedrijfspolitiek. Van belangenverstrengeling. In een kleinere bedrijfsomgeving, waar de lijnen tussen verschillende afdelingen vaak vervagen, kan de objectiviteit van de Security Officer in het geding komen. Durft hij of zij wel te zeggen waar het op staat als jij als eigenaar er eigenlijk gewoon een potje van maakt met je wachtwoorden? De noodzaak om interne relaties vooral maar goed te houden, kan dan zomaar leiden tot compromissen in beveiligingsstrategieën of tot een gebrek aan assertiviteit bij het aankaarten van kritieke kwesties.

Yes! We huren een Security Officer in!

Ok, misschien toch maar inhuren dan? Belangrijke voordelen van dat scenario zijn allereerst de flexibiliteit en schaalbaarheid. Heb je minder werk voor een Security Officer? Dan neem je minder uren of diensten af bij je dienstverlener. Zijn er pieken rondom projecten of incidenten? Dan schaal je de service snel even op. In een steeds veranderend lT landschap is het aan- en uitzetten van je Security Officer een niet te onderschatten voordeel.

Ook fijn: al die kennis rondom de nieuwe ontwikkelingen, die hoef jij niet meer te (laten) onderhouden. Vaarwel additionele opleidingskosten. Een externe Security Officer brengt ervaring en kennis mee uit verschillende industrieën en scenario's, wat weer leidt tot innovatieve oplossingen en strategieën. Die bredere blik kan je interne medewerker minder makkelijk vergaren. Ook geen bedrijfspolitiek die hier het proces verstoort: een onafhankelijke Security Officer zorgt voor een objectieve beoordeling van je beveiligingsrisico's. Ook de CEO wordt onherroepelijk op het matje geroepen!

Verdwenen zijn ook je problemen rondom de werving én het behoud van een fulltime medewerker. We zagen de uitdagingen en astronomische kosten al. Een race die je, zeker als kleinere organisatie, helemaal niet wilt aangaan. Door een externe dienstverlener in te schakelen, omzeil je de uitdagingen en kun je je concentreren op je kernactiviteiten, terwijl je toch verzekerd bent van sterke ondersteuning omtrent je Cyber Security.

Balen! We huren een Security Officer in!

Ook deze optie is niet alleen maar hosanna hosanna. Zo moet je bij de keuze voor een externe Security Officer meer investeren in de overdracht van bedrijfskennis en -cultuur. Een externe Security Officer zal niet vanaf dag één volledig bekend zijn met jouw eigenaardige processen of de waarden van je bedrijf. Inwerken dus. En dat kost absoluut tijd en middelen.

Inhuren betekent ook dat je Security Officer er lang niet altijd is. Dus: misschien niet altijd onmiddellijk beschikbaar in noodgevallen of voor spoedoverleg. Dit kan zorgen voor vertragingen bij het reageren op beveiligingsincidenten of bij het verkrijgen van cruciaal advies. En dat kan de risico's voor je bedrijf natuurlijk vergroten.

Ook ben je met de inhuur afhankelijk van de beschikbaarheid en prioriteiten van een externe dienstverlener. Natuurlijk maak je afspraken, maar prioriteiten kunnen verschuiven, bijvoorbeeld door belangrijke incidenten bij andere klanten of veranderingen in de serviceovereenkomst. Dat kan mogelijk leiden tot minder ondersteuning op het moment dat je dat nodig hebt.

Maar wat nu?

Je hebt nu de argumenten om een zorgvuldige afweging te maken. Een afweging die bepaald wordt door de omvang van de klus, de beschikbaarheid én vindbaarheid van een geschikte kandidaat. Door de gewenste flexibiliteit en door het budget. Je zult begrijpen, wij zijn fan van de Security Officer as a Service. Een onafhankelijk, schaalbaar alternatief voor die peperdure speld in de hooiberg. Want zeg nou zelf? Liefst begin je toch al vandaag aan meer grip op je Cyber Security?