Een groot deel van de chief information security officers (CISO’s) bij de Nederlandse overheid opereert solitair binnen zijn of haar organisatie en heeft geen eigen medewerkers. Veel CISO’s werken bovendien in deeltijd. Ook zijn ze slechts beperkt betrokken bij de inkoop van veilige hard- en software. Daarop duidt een enquête gehouden door het Centrum voor Informatiebeveiliging en Privacybescherming (CIP) onder CISO’s en bestuurders.

CISO’s en hun bestuurders zijn over het algemeen te spreken over de onderlinge werkrelatie. Een verrassend groot aantal van de participerende CISO’s rapporteert aan een bestuurder. Beide groepen zijn opvallend eensgezind over de taken en verantwoordelijkheden van de CISO. Toch is er ook discrepantie: de bestuurders zeggen grote prioriteit toe te kennen aan informatieveiligheid, en hun zicht op potentiële risico’s en schade bij incidenten lijkt zelfs sterker en breder dan van de CISO’s. Dezen wensen echter een bestuurder die nadrukkelijker ambassadeur is, meer budget beschikbaar stelt en beter toegankelijk is. De bestuurder ziet graag een meer adviserende CISO. Zelf zouden de CISO’s een meer strategische rol wensen.

Krijgt de functie van CISO wel voldoende prioriteit? Als grootste hindernissen komen ‘gebrek aan steun middenmanagement’, ‘beperkt mandaat’, ‘trage besluitvorming’ en ‘beperkte middelen’ naar voren. Daarnaast geven CISO’s zelf slechts beperkt betrokken te worden bij veranderingsprocessen in de informatievoorziening en informatieveiligheid. Ter nuancering: velen van hen lijken dit te hebben gedelegeerd naar een meer uitvoerend niveau.

De enquête maakt duidelijk dat veel organisaties al hebben gekozen voor invoering van de nieuwe Baseline Informatiebeveiliging Overheid (BIO). De weg naar vooral het NCSC, VNG/IBD en het CIP voor praktische ondersteuning wordt goed gevonden en gewaardeerd. De aansluiting bij ondersteunende netwerken voor preventie en respons bij incidenten (SOC’s, CERT’s, Nationaal Detectienetwerk en ISAC’s) kan nog wel beter. Die kunnen de CISO helpen bij zijn of haar taaie ‘gewetensrol’ op het gebied van het informatiebeveiligingsbeleid, en helpen om organisaties daadwerkelijk en meer structureel veilig te houden.

Als vervolg op de enquête is CIP recent gestart met de CISO Cirkel, een community van en voor CISO’s binnen de Nederlandse overheid.

Over het onderzoek

CIP heeft ruim 100 CISO’s en 40 bestuurders geënquêteerd. De enquête is tot stand gekomen op initiatief van CIP, met medewerking van een aantal CISO’s werkzaam bij het rijk, gemeenten, waterschappen, uitvoeringsorganisaties, Hoge Colleges van Staat en het NCSC. De vragenlijsten zijn ontwikkeld en verwerkt door het CIP, tevens verantwoordelijk voor de analyse en het opstellen van het bijbehorende rapport.

REAGEREN

Plaats je reactie
Je naam