Management

Security
CISO binnen overheid heeft te weinig slagkracht

Slagkracht CISO binnen overheid moet beter

Enquete wijst uit dat CISO solistische functie is met weinig budget die parttime wordt uitgevoerd.

22 november 2019

Enquete wijst uit dat CISO solistische functie is met weinig budget die parttime wordt uitgevoerd.

Het merendeel van de Chief Information Security Officers (CISO’s) binnen de overheid voeren hun functie parttime uit, hebben geen team of medewerkers, en weinig of geen budget. Dat blijkt uit een enquête van Centrum Informatiebeveiliging en Privacybescherming (CIP) onder ruim 100 CISO’s en 40 bestuurders. Onderzocht is hoe CISO’s hun werk en werkomgeving ervaren.

Het CIP noemt het beeld over de beschikbare capaciteit van CISO’s “niet positief”. “Dit komt de status en slagvaardigheid van deze ‘solistische’ functie niet ten goede. Aangeraden wordt de CISO te voorzien van een eigen budget. Dit kan zijn effectiviteit ten goede komen, het zelfstandig handelen bevorderen en de zelfstandige positie in de organisatie helpen verstevigen”, schrijft het CIP in de samenvatting van het onderzoek.

Uit de enquête blijkt verder dat CISO en bestuurders dezelfde opvattingen hebben over de taak van de CISO binnen de overheid. CIP schrijft daarover: “Daarbij valt op dat een rol voor de CISO bij inkopen en aanbestedingen nauwelijks wordt gezien. Dit blijkt ook uit een vraagstelling over de eisen die meegegeven worden aan leveranciers. Die blijken zeer algemeen van aard. Hier ligt een urgent verbeterpunt in organisaties en een stevige taak voor de CISO.”

IV-veranderingen

Daarnaast wordt de CISO niet of incidenteel betrokken bij IV-veranderingen. Volgens het CIP zou de CISO op structurele basis betrokken moeten worden bij veranderingsprocessen in de informatievoorziening. “Informatieveiligheid is namelijk een steeds dominanter kwaliteitsaspect en moet als integraal onderdeel worden meegenomen en geborgd.”

Een andere zorg is dat CISO’s aangeven slechts in beperkte mate zicht te hebben op de omvang of het effect van IB-gerelateerde schade bij incidenten. Zeventig procent geeft aan onvoldoende of zelfs geen zicht te hebben. CIP vraagt zich af: “Zijn er te weinig harde gegevens bekend bij de CISO’s uit risicoanalyses? Harde conclusies zijn niet mogelijk. Maar aangezien ook de Baseline Informatiebeveiliging Overheid (BIO) risicoanalyses veronderstellen, is dit op zijn minst een aandachtspunt.”

De gemiddelde leeftijd van de CISO bedraagt 55 jaar, blijkt uit de enquête. Toch is hun ervaring relatief beperkt. 40 procent heeft 0 tot 2 jaar werkervaring en nog eens 40 procent 3 tot 5 jaar. Het merendeel van de CISO’s rapporteert aan een bestuurder of directeur. Zowel CISO’s als bestuurders zijn doorgaans goed te spreken over hun onderlinge relatie.

Lees meer over Management OP AG Intelligence
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.