De CISO-functie is niet meer weg te denken uit de organisatie. Voor velen een lastpost, voor anderen een waardevolle hulp. De een is succesvol, de ander vecht tegen de bierkaai. De meesten zijn bevlogen en geloven in hun missie. Hun bestaansrecht is de wedloop tussen gebruikers en misbruikers van informatie. De invulling van de rol kan enorm verschillen, variërend van een operationeel-technische tot een strategische management- of controllerfunctie. Eén ding valt op: deze C-level-positie zit zelden in de hoogste echelons van de organisatie. Directe toegang tot het management is volgens Jan Nienhuis echter van groot belang voor een CISO.

Hoewel informatiebeveiliging niet los van informatietechniek mag worden gezien, kan het nooit hiertoe worden beperkt. De manier waarop de informatie en de systemen worden gebruikt, bepaalt de effectiviteit van de beschikbare techniek. Informatiebeveiliging is daarom meer een bedrijfskundige uitdaging dan een technische. In beginsel hoort het bij de taken en verantwoordelijkheden van de CISO om de bescherming van informatie tegen ongelukken en kwaadwillenden te organiseren en/of te coördineren.

Dat vraagt kennis en kunde. Een belangrijk deel van het werk van de CISO (en het securityteam) bestaat dan ook uit het onderhouden van certificeringen, het bijhouden van technische ontwikkelingen en het volgen van wetgeving, standaarden en normen op het vakgebied (bijvoorbeeld ISO, NEN of IEC). Een netwerk in de branche en lidmaatschap van brancheverenigingen helpen daarbij.

Lastpost wordt helper