CISO in de publieke sector

CISO in de publieke sector

Deze 4-daagse training bevat alle noodzakelijke kennis om op het hoogste cybersecurity managementniveau als Chief Information Security Officer (CISO) te kunnen functioneren in een publieke organisatie

Forse toename van cybercriminaliteit in de publieke sector

Het is helaas aan de orde van de dag. Grote (omvangrijke) hacks op publieke organisaties waarbij massaal gegevens worden buitgemaakt. 91% van de Nederlandse gemeenten is de afgelopen jaren geconfronteerd geweest met ten minste één cybercrime misdrijf. Bijna de helft van de door een cybercrime getroffen organisaties heeft wel eens losgeld betaald om het lekken van gevoelige informatie te voorkomen of om snel weer toegang te krijgen tot hun data. Desondanks kreeg bijna 2/3 van hen geen toegang tot de gegijzelde data. 3/4 van de gedupeerde organisaties moest de data daarna opnieuw opbouwen.

Het grote gebrek aan ervaren en goed opgeleide cybersecurity professionals in de publieke sector gaat zich nu absoluut wreken. Waardevolle informatie met minimale bescherming is nu eenmaal een makkelijk doelwit voor kwaadwillenden. De verwachting is dan ook dat publieke organisaties steeds meer het doelwit worden van steeds slimmere en agressiever opererende cybercriminelen. De vraag naar goed opgeleide cybersecurity professionals/CISO’s in de publieke sector stijgt dan ook aanzienlijk.

Nieuwe cybersecurity wetgeving op basis van NIS2

De omvang en impact van de Europese NIS2-richtlijn (die eind 2024 moet zijn omgezet in de Nederlandse wetgeving) zijn potentieel enorm voor een groot deel van de publieke sector. Als CISO krijgt u o.a. te maken met forse eisen op het gebied van uw zorgplicht, toezicht en meldplicht m.b.t. security incidenten. NIS2 stelt daarnaast dat de implementatie van NIS2 een verantwoordelijkheid is van het bestuur en de directie van een (publieke) organisatie met persoonlijke aansprakelijkheid en boetes! Hoe u NIS2 en andere relevante wet- en regelgeving moet interpreteren en implementeren in uw cybersecurity beleid is dan ook een belangrijk onderdeel van deze actuele CISO training.

CISO in de publieke sector – vaak verplicht of voorgeschreven

Cybersecurity in publieke organisaties is een uitermate complex en snel veranderend vakgebied waarin techniek en (specifieke) wet- en regelgeving een steeds grotere rol spelen. Niet voor niets is de aanstelling van een Chief Information Security Officer (CISO) voor gemeenten verplicht en voor veel andere publieke organisaties voorgeschreven. Als Chief Information Security Officer (CISO) bent u cybersecurity deskundige bij uitstek en verantwoordelijk voor het identificeren, voorkomen en verminderen van (technische) IT beveiligingsrisico’s op managementniveau. In deze actuele en diepgaande training leert u om op het hoogste managementniveau van informatiebeveiliging te functioneren als CISO.

Wat leert u in deze training?

In deze 4-daagse toptraining wordt specifiek ingegaan op de functie, verantwoordelijkheden en aansprakelijkheden van de Chief Information Security Officer (CISO) in een publieke organisatie. De training is gericht op het succesvol invoeren en borgen van een informatiebeveiligingsbeleid, gebaseerd op techniek en organisatie en houding en gedrag. Als uitgangspunt voor uw informatiebeveiligingsbeleid wordt uitgegaan van de nieuwe BIO (Baseline Informatiebeveiliging Overheid), de aankomende nieuwe cybersecurity wetgeving, gebaseerd op NIS2 en de algemeen geldende en relevante wet- en regelgeving, standaarden en verordeningen zoals de AVG, ISO 27001, IEC 62443 en CSIR.

Resultaat van deze training

Deze training reikt u actuele kennis en inzicht aan waarmee u cybersecurity binnen uw eigen organisatie naar een hoger plan tilt. U krijgt concrete informatie over wat er (juridisch, technisch en organisatorisch) van u wordt verwacht rondom de cybersecurity van uw organisatie. De trainers stellen met u een effectieve cybersecurity aanpak op die mensen, processen en techniek integreert. U leert het voor uw organisatie juiste en optimale cybersecurity niveau te bepalen, realiseren en borgen.

Na afloop van deze 4-daagse training weet u wat de:

• functie, verantwoordelijkheid en aansprakelijkheid van de CISO in een publieke organisatie inhouden en heeft u:
• alle noodzakelijke kennis in huis om op het hoogste managementniveau van informatiebeveiliging te kunnen functioneren in een publieke organisatie
• de benodigde kennis opgedaan om gefundeerde beslissingen over de informatiebeveiliging van uw organisatie te kunnen nemen
• alle benodigde high-level technische kennis om met informatiebeveiligingsspecialisten te kunnen communiceren
• de kennis om een strategische en financiële planning voor informatiebeveiliging te kunnen maken en bent u:
• op de hoogte van alle relevante wet- en regelgeving, standaarden en verordeningen

Al met al een complete training om op strategisch en tactisch niveau informatiebeveiliging op een procesmatige wijze in te bedden in uw eigen publieke organisatie.

Voor wie is deze CISO training een must?

Bent u (mede)verantwoordelijk voor de digitale veiligheid van uw organisatie en wilt u adequate cybersecurity realiseren op strategisch en tactisch niveau? Dan is dit de training voor u. Qua functionarissen denken wij o.a. aan (aankomend) Chief Information Security Officers (CISO’s) in publieke organisaties, CIO’s, (informatie) beveiligingsfunctionarissen, coördinatoren I&A, informatiemanagers, IT managers, (IT) auditors, Functionarissen voor de Gegevensbescherming/Data Protection Officers (FG’s/DPO’s) en Privacy Officers (PO’s), systeem- en netwerkbeheerders, risicomanagers en vele andere professionals die (mede)verantwoordelijk zijn voor de cybersecurity van een publieke organisatie.

Voorkennis

Om succesvol deel te kunnen nemen aan deze CISO training gaan wij ervan uit dat u bekend bent met de basisbeginselen van cybersecurity en hier enige jaren ervaring mee heeft.

Niveau van de training

De 4-daagse training CISO in de publieke sector wordt gegeven op HBO/Bachelor+ werk- en denkniveau.

Programma

DAG I
Governance van informatiebeveiliging

• Governance
• Audit management – het uitvoeren van interne audits en periodieke beveiligingsaudits
• Risicomanagement – risicoanalyse methoden en het uitvoeren van een risicoanalyse
• Standaarden en normenkaders – zoals de Baseline Informatiebeveiliging Overheid (BIO), ISO 27001 / ISO 27002, AVG, NIS2, IEC 62443, CSIR en overige relevante regelgeving

DAG II
CISO in een publieke organisatie – functie, verantwoordelijkheid en aansprakelijkheid

• Overzicht van te nemen cyber security maatregelen
• Beheer van menselijk kapitaal
• Beheer van IT
• Security architecturen – concepten en methoden
• Logische (IAM) en fysieke toegangsbeveiliging
• Social engineering
• Bewustwording in de organisatie
• Privacy (AVG) en security

DAG III
CISO in een publieke organisatie – de benodigde high-level technische kennis

• Disaster recovery
• Business Continuity Management (BCM)
• Beveiliging van netwerken
• Beveiliging van draadloze netwerken
• Kwaadaardige software (malware) – varianten en kenmerken
• Veilige software ontwikkelen
• Hardening
• Encryptie

DAG IV
Effectiviteit van informatiebeveiliging en exploitatie

• Kwetsbaarheden analyse (vulnerability assessment)
• Penetration testing
• Incident management – opzetten van een registratie voor beveiligingsincidenten en het afhandelen van opgetreden incidenten
• Forensisch onderzoek
• Strategische planning
• Financiering van IT middelen
• Management van leveranciers, dienstverleners, service providers