Je hebt een virtual CISO ingehuurd. Één dag per week, soms twee. Hij kent de branche, heeft een goed verhaal, en elke maand ligt er een rapportage op tafel.
Je hebt het geregeld.
Maar weet hij eigenlijk wat er bij jou speelt?
Stel jezelf één vraag: weet jouw vCISO welke systemen er bij jullie draaien die drie jaar geleden zijn aangeschaft en sindsdien nooit meer zijn geüpdatet? Kent hij de leverancier die toegang heeft tot jullie netwerk voor onderhoud, zonder dat iemand daar ooit een risicoafweging over heeft gemaakt?
Waarschijnlijk niet. Niet omdat hij zijn werk niet doet — maar omdat hij er simpelweg niet genoeg is.
De economie werkt tegen je
Een vCISO is economisch alleen zinvol bij een beperkt aantal uren. Dat is de aantrekkingskracht: je koopt security-expertise zonder een fulltime salaris. Maar die uren zijn onvoldoende om de ins en outs van jouw organisatie echt te kennen, bij te houden wat er verandert, en tegelijk de operationele zaken te beheren waarvoor je hem inhuurt.
Wil je dat hij dat wél doet, dan heb je hem drie dagen per week nodig. En dan wordt een fulltime CISO economisch interessanter.
Het lost het verkeerde probleem op
Het vCISO-model lost een ander probleem op dan het lijkt.
Het lost niet op dat je niet weet welke risico’s je loopt. Het lost op dat je er niet meer over hoeft na te denken.
Dat zijn twee fundamenteel verschillende dingen.
Wat risicobeheersing écht vraagt
Risicobeheersing vraagt om iemand die jouw organisatie kent zoals jij die kent — met alle onhandige uitzonderingen, de systemen die eigenlijk vervangen moeten worden, de medewerker die zijn wachtwoord ergens heeft opgeschreven. Dat soort kennis bouw je niet op in twaalf maandelijkse bezoeken.
Als je wil weten welke risico’s je loopt, is de vraag niet: wie kan ik inhuren? De vraag is: welke structuur zorgt ervoor dat die kennis er altijd is?