Veel Chief Information Security Officers (CISO’s) van de overheid vervullen hun functie solitair binnen hun organisatie. Een aanzienlijk deel van hen doet dat parttime. Dat blijkt uit een enquête van Centrum Informatiebeveiliging en Privacybescherming (CIP) onder ruim 100 CISO’s en 40 bestuurders. Onderzocht is hoe CISO’s hun werk en werkomgeving ervaren.
BIO
De CIP CISO Enquête maakt duidelijk dat veel organisaties de nieuwe Baseline Informatiebeveiliging Overheid (BIO) invoeren. Ondanks de solitaire rol is er wel ondersteuning beschikbaar. Zo wordt de weg naar vooral het NCSC, VNG/IBD en het CIP voor praktische ondersteuning goed gevonden en ook goed gewaardeerd. Voor de ondersteunende netwerken voor preventie en respons bij incidenten geldt dat nog wat minder. Die kunnen de CISO echter wel helpen bij zijn taaie ‘gewetensrol’ in het informatiebeveiligingsbeleid.
Meer strategisch
Veel CISO’s rapporteren aan een bestuurder. Zowel CISO’s als bestuurder zijn doorgaans goed te spreken over hun onderlinge relatie. Beiden zijn eensgezind over de taken en verantwoordelijkheden van de CISO. Toch zijn er nog wensen. De CISO’s wensen zich een bestuurder die de ambassadeursrol meer nadrukkelijk invult, meer budget beschikbaar stelt en wat beter toegankelijk is. Ook zouden ze zelf graag meer strategisch bezig zijn. De bestuurder wil een meer adviserende CISO.
Hinderpalen
Krijgt de functie van CISO wel voldoende prioriteit? Gebrek aan ‘steun middelmanagement’, ‘beperkt mandaat’, ‘trage besluitvorming’ en ‘beperkte middelen’ komen uit de enquête naar voren als grootste hinderpalen. Daarnaast geven CISO’s aan zelf slechts beperkt betrokken te worden bij zowel veranderingsprocessen in de informatievoorziening en informatieveiligheid, als bij de inkoop van veilige hard- en software.
Lees de volledige enquête bij CIP.
