Hoeveel IT security medewerkers heb ik nodig?

Een IT security onderzoek naar de inzet van informatiebeveiligingsmedewerkers levert interessante aantallen op. Deze kunnen we vergelijken met de aantallen voor onze eigen organisatie. Samen met bestaande publicaties waarin middelen voor CISO’s werden vermeld krijgen we voldoende inzicht om de juiste personeelsgrootte en IT security budgetten voor organisaties te bepalen. Deze cijfers zijn in hoge mate afhankelijk van de taken en activiteiten die de CISO moet uitvoeren en overzien.

De levenscyclus van IT systemen

De levenscyclus van IT systemen laten zien dat met name bij de starten (ontwikkeling) en het stoppen (uitfaseren) van een systeem veel IT beveiligingsinspanningen moeten plaatsvinden. Dit sluit goed aan bij de pieken van de IT afdeling. Daardoor kunnen we een aantal vuistregels opstellen die leiden tot het volgende beknopte overzicht:

• 3 tot 6 informatiebeveiligingsmedewerkers per 100 IT-medewerkers.
• 1,75 informatiebeveiligingsmedewerkers per 1 interne IT-auditor.
• 1 medewerker voor informatiebeveiliging per 5000 netwerkapparaten zoals werkstations, switches, firewalls, servers, enz. Dit uitgezonderd mobiele apparaten.
• 3 procent tot 11 procent van het totale IT-budget moet worden toegewezen aan informatiebeveiliging.　Ciso’s noemen zelf vaak 3 procent – 5 procent).

De IT security implementatie van een CISO-organisatie

We raden lezers niet aan om de aanpak en richtlijnen uit dit artikel als enige leidraad voor het samenstellen van de organisatie te gebruiken. Er zijn meer technische artikelen voor het structureren van een CISO-organisatie en voor het toewijzen van rollen en verantwoordelijkheden aan de verschillende organisatie-eenheden te vinden op internet. Het is duidelijk dat CISO’s zich moeten aanpassen aan goede voorstellen om te kunnen voldoen aan de specifieke prioriteiten en vereisten van hun organisatie en de externe richtlijnen die van toepassing zijn.
Voor organisaties en CISO’s die aan de vooravond staan om deze richtlijnen in te voeren, raden we de volgende volgende stappen aan:

De huidige CISO structuur

Breng je huidige CISO-structuur in kaart in de aanbevolen structuur van afdelingen, taken en activiteiten:

• Bepaal waar volledige dekking is binnen de huidige structuur, waar gedeeltelijke dekking is en waar lacunes (geen of minimale dekking) is.
• Stel bij een gedeeltelijke dekking, een minimale dekking of geen dekking in de structuur vast of deze activiteiten elders in de organisatie worden uitgevoerd.
• Bepaal welke organisatie-eenheden op de bestaande voet kunnen doorgaan.
• Welke eenheden moeten we wijzigen (d.w.z. uitgebreid of uitbesteed).
• En of we nieuwe eenheden moeten vormen.

Overweeg oplossingen voor in-sourcing en outsourcing van activiteiten en moedig een actievere samenwerking met bestaande eenheden die cyberbeveiligingsactiviteiten uitvoeren aan.

Ontwikkel een roadmap voor de implementatie van de nieuwe structuur.

Overweeg het gebruik van algemeen geaccepteerde volwassenheidsindicatoren om de voortgang en de werking van de structuur te meten. Je kan deze indicatorniveaus bijvoorbeeld afleiden van de CERT-RMM. Dit model is met succes gebruikt door het Amerikaanse ministerie van Energie (Cybersecurity Capability Maturity Model) en door het Amerikaanse ministerie van Binnenlandse Veiligheid (Cyber ​​Resilience Review). Op deze manier kan je een CISO organisatie implementeren of verbeteren en de Best Practices van anderen hergebruiken.

Wat staat er verder op het IT security programma?

Omdat hackers en andere kwaadwillenden niet stil zitten is ons IT security programma nooit af. Dit wordt nog eens versterkt door telkens nieuwe technologische ontwikkelingen die ook weer nieuwe lekken en maatregelen met zich meebrengen. De CISO is dus permanent waakzaam en houdt zijn kennis up-to-date.

Discussieer mee op LinkedIn.