Overslaan en naar de inhoud gaan

Geen tijd of geld voor hoofd informatiebeveiliging

Chief Information Security Officer (CISO) is veelal een parttime functie, de meesten hebben geen medewerkers en het merendeel heeft geen of…

Chief Information Security Officer (CISO) is veelal een parttime functie, de meesten hebben geen medewerkers en het merendeel heeft geen of weinig budget. Dat blijkt uit een enquête. CISO's blijken slecht zicht te hebben op de gevolgen van incidenten.

Werk aan de winkel

‘Over de beschikbare capaciteit van CISO’s is het beeld niet positief’, schrijft het Centrum voor Informatiebeveiliging en Privacybescherming (CIP) dat de enquête uitvoerde om een beeld te krijgen van de functie binnen de Nederlandse overheid. ‘Voor 69 procent van de CISO’s betreft het een parttime functie. 77 procent heeft geen team of medewerkers. 40 procent heeft geen budget (22 procent een heel klein budget).’ Er is werk aan de winkel, luidt de conclusie.

Geen zicht

Zeven op de tien CISO’s geven aan onvoldoende of helemaal geen zicht te hebben op het effect van informatiebeveiligingsschade bij incidenten. Oefeningen zoals hacktests en phishing-campagnes zijn vaak niet structureel ingebed. Het CIP adviseert om hier aandacht aan te besteden. ‘Dit helpt organisaties veilig te houden en zorgt ervoor dat signalering en response op incidenten structureel geborgd is.’

CISO's en bestuurders

Ruim honderd CISO’s en bijna 40 bestuurders vulden de enquête in. Hoewel de bestuurders zeggen dat informatieveiligheid hoog op hun lijstje staat, en zelfs een sterker en breder zicht op de potentiële schade bij incidenten lijken te hebben, hebben de CISO’s nog wat wensen. Die zouden liever zien dat de bestuurders meer budget beschikbaar stellen, beter toegankelijk zijn en meer de rol van ambassadeur voor informatiebeveiliging op zich nemen. Bestuurders zien graag adviserende CISO’s, terwijl CISO’s zelf liever strategisch bezig zijn.

Het belangrijkste overheidsnieuws van de dag

Schrijf je in voor de Binnenlands Bestuur nieuwsbrief

Urgent verbeterpunt

Er is bovendien geen rol voor de CISO bij inkopen en aanbestedingen. De eisen die worden meegegeven aan leveranciers zijn ‘zeer algemeen van aard’. Hier ligt volgens het CIP een urgent verbeterpunt, maar er zou al verandering op komst zijn omdat het ministerie van Binnenlandse Zaken, samen met het CIP en een expertgroep, manieren ontwikkelt om bij inkoop passende eisen te kunnen stellen. Ook vertelt het CIP dat het onlangs is gestart met het organiseren van een community van CISO’s binnen de overheid.

Afbeelding

Bron: enquête CIP.

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heeft u al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heeft u al een account? Log in