Geen tijd of geld voor hoofd informatiebeveiliging
Chief Information Security Officer (CISO) is veelal een parttime functie, de meesten hebben geen medewerkers en het merendeel heeft geen of weinig budget. En ze hebben slecht zicht te hebben op de gevolgen van incidenten.
Chief Information Security Officer (CISO) is veelal een parttime functie, de meesten hebben geen medewerkers en het merendeel heeft geen of weinig budget. Dat blijkt uit een enquête. CISO's blijken slecht zicht te hebben op de gevolgen van incidenten.
Werk aan de winkel
‘Over de beschikbare capaciteit van CISO’s is het beeld niet positief’, schrijft het Centrum voor Informatiebeveiliging en Privacybescherming (CIP) dat de enquête uitvoerde om een beeld te krijgen van de functie binnen de Nederlandse overheid. ‘Voor 69 procent van de CISO’s betreft het een parttime functie. 77 procent heeft geen team of medewerkers. 40 procent heeft geen budget (22 procent een heel klein budget).’ Er is werk aan de winkel, luidt de conclusie.
Geen zicht
Zeven op de tien CISO’s geven aan onvoldoende of helemaal geen zicht te hebben op het effect van informatiebeveiligingsschade bij incidenten. Oefeningen zoals hacktests en phishing-campagnes zijn vaak niet structureel ingebed. Het CIP adviseert om hier aandacht aan te besteden. ‘Dit helpt organisaties veilig te houden en zorgt ervoor dat signalering en response op incidenten structureel geborgd is.’
CISO's en bestuurders
Ruim honderd CISO’s en bijna 40 bestuurders vulden de enquête in. Hoewel de bestuurders zeggen dat informatieveiligheid hoog op hun lijstje staat, en zelfs een sterker en breder zicht op de potentiële schade bij incidenten lijken te hebben, hebben de CISO’s nog wat wensen. Die zouden liever zien dat de bestuurders meer budget beschikbaar stellen, beter toegankelijk zijn en meer de rol van ambassadeur voor informatiebeveiliging op zich nemen. Bestuurders zien graag adviserende CISO’s, terwijl CISO’s zelf liever strategisch bezig zijn.
Urgent verbeterpunt
Er is bovendien geen rol voor de CISO bij inkopen en aanbestedingen. De eisen die worden meegegeven aan leveranciers zijn ‘zeer algemeen van aard’. Hier ligt volgens het CIP een urgent verbeterpunt, maar er zou al verandering op komst zijn omdat het ministerie van Binnenlandse Zaken, samen met het CIP en een expertgroep, manieren ontwikkelt om bij inkoop passende eisen te kunnen stellen. Ook vertelt het CIP dat het onlangs is gestart met het organiseren van een community van CISO’s binnen de overheid.
Bron: enquête CIP.
Plaats als eerste een reactie
U moet ingelogd zijn om een reactie te kunnen plaatsen.