Persbericht

‘CISO’s binnen de overheid eenzaam en in uitdagende relatie met bestuurder’

Veel van de Chief Information Security Officers (CISO’s), werkzaam binnen de Nederlandse overheid, vervullen hun functie solitair binnen zijn of haar organisatie, dat wil zeggen: zonder eigen medewerkers. En een aanzienlijk deel doet dat parttime. En ze zijn slechts beperkt betrokken bij de inkoop van veilige hard- en software.

Opvallende uitkomsten van een enquête ‘Hoe ervaren CISO’s hun werk en werkomgeving?’, die in het najaar van 2019 werd gehouden door het Centrum voor Informatiebeveiliging en Privacybescherming (CIP), onder meer dan 100 CISO’s en 40 bestuurders.

‘CISO’s en hun bestuurder’

Over het algemeen zijn ze allebei goed te spreken over hun onderlinge relatie, terwijl een verrassend groot aantal van de responderende CISO’s rapporteert aan een bestuurder. Beide groepen functionarissen zijn opvallend eensgezind over de taken en verantwoordelijkheden van de CISO. Toch is er ook discrepantie. De bestuurders zeggen grote prioriteit toe te kennen aan informatieveiligheid, en hun zicht op potentiële risico’s en schade bij incidenten lijkt zelfs sterker en breder dan van de CISO’s. Echter, de CISO’s wensen zich een bestuurder die de ambassadeursrol meer nadrukkelijk invult, meer budget beschikbaar stelt en wat beter toegankelijk is. De bestuurder ziet graag een meer adviserende CISO. Zelf zouden de CISO’s meer strategisch bezig willen zijn. Kortom, toch werk aan de winkel.

‘Beperkt mandaat en trage besluitvorming’

Krijgt de functie van CISO wel voldoende prioriteit? Gebrek aan ‘steun middelmanagement’, ‘beperkt mandaat’, ‘trage besluitvorming’ en ‘beperkte middelen’ komen uit de enquête naar voren als grootste hinderpalen in hun praktijk. Daarnaast geven CISO’s zelf slechts beperkt betrokken te worden bij veranderingsprocessen in de informatievoorziening en informatieveiligheid. Ter nuancering: velen van hen lijken dit te hebben gedelegeerd naar een meer uitvoerend niveau.

‘Ondersteuning CISO’s’

De CIP CISO Enquête maakt duidelijk dat veel organisaties al hebben gekozen voor invoering van de nieuwe Baseline Informatiebeveiliging Overheid (BIO). De weg naar vooral het NCSC, VNG/IBD en het CIP voor praktische ondersteuning wordt goed gevonden en gewaardeerd. De aansluiting bij ondersteunende netwerken voor preventie en respons bij incidenten (SOC’s, CERT’s, Nationaal Detectienetwerk en ISAC’s) kan nog wel beter. Die kunnen de CISO helpen bij zijn taaie ‘gewetensrol’ op het gebied van het informatiebeveiligingsbeleid, en hen helpen om hun organisaties daadwerkelijk en meer structureel veilig te houden.

De volledige enquête is hier te vinden voor nadere informatie.

Als vervolg op deze enquête is CIP onder meer recent gestart met de CISO Cirkel, een community van en voor CISO’s binnen de Nederlandse overheid.

Plaats een reactie

U moet ingelogd zijn om een reactie te kunnen plaatsen.
Registreren