Het beroep van Chief Information Security Officer (CISO) bestaat zo’n twintig jaar. Maar het beroep of de rol is niet wettelijk beschreven, noch verplicht en heeft ook geen beschermde status. Algemene eisen waaraan de CISO moet voldoen, zijn nergens vastgelegd. Hoe ervaren CISO’s hun werk eigenlijk?
Hoe wordt in de praktijk invulling gegeven aan de functie van CISO (binnen de Nederlandse overheid) en hoe ervaren CISO’s hun werk en werkomgeving? Om dit vast te stellen heeft het Centrum voor Informatiebeveiliging en Privacybescherming, kortweg CIP, een enquête uitgezet. CIP hoopt dat de uitkomsten van de enquête kunnen bijdragen aan het formuleren van nadere eisen aan het beroep, meer input kunnen opleveren voor opleidings- en inbeddingscriteria en steun kunnen geven aan de praktische invulling van de functie.
Bevindingen en aandachtspunten
Uit het onderzoek blijkt dat de taakopvattingen omtrent rol van de CISO bij henzelf en bij de bestuurders behoorlijk congruent zijn. Daarbij valt op dat er nauwelijks een rol voor de CISO bij inkopen en aanbestedingen wordt gezien. Dit blijkt ook uit een vraagstelling over de eisen die meegegeven worden aan leveranciers. Die blijken zeer algemeen van aard. Hier ligt een urgent verbeterpunt in organisaties en een stevige taak voor de CISO. Hulp is inmiddels onderweg, want het ministerie van BZK ontwikkelt samen met CIP en een interbestuurlijke expertgroep, tooling om bij inkopen passende eisen op het gebied van informatiebeveiliging (IB) te kunnen selecteren.
>> Lees alle bevindingen uit de CIP Enquête CISO’s binnen de Nederlandse overheid
Betere afstemming door structureel overleg
Het is opvallend dat CISO’s meer bewustwording over IB-risico’s willen zien bij hun bestuurders, terwijl de risicoperceptie bij bestuurders in het algemeen zelfs hoger ligt dan bij de CISO’s zelf. Meer frequent onderling overleg kan zorgen voor een betere afstemming tussen beide partijen.
Meer frequent onderling overleg kan zorgen voor een betere afstemming tussen beide partijen
In 43 procent van de gevallen is de CISO niet of alleen incidenteel betrokken bij informatievoorziening-veranderingen (IV). Het is daarom van belang dat de CISO op structurele basis betrokken is bij de IV-veranderingsprocessen. Informatieveiligheid is namelijk een steeds dominanter kwaliteitsaspect en moet als integraal onderdeel worden meegenomen en geborgd.
Weinig zicht op schade bij incidenten
Desgevraagd geven de responderende CISO’s aan slechts in beperkte mate zicht te hebben op de omvang of het effect van IB-gerelateerde schade bij incidenten. 70 procent geeft te kennen daarop onvoldoende (45 procent), of zelfs helemaal geen zicht (25 procent) te hebben. Zijn er te weinig harde gegevens bekend bij de CISO’s uit risicoanalyses? Harde conclusies zijn niet mogelijk. Maar aangezien ook de Baseline Informatiebeveiliging Overheid (BIO) risicoanalyses veronderstellen, is dit op zijn minst een aandachtspunt.
92 procent van de organisaties voert hack-/pentests uit. Phishing-campagnes komt in 62 procent van de organisaties voor, mystery guests in 48 procent en periodieke crisisoefeningen in 30 procent van de organisaties. Oefeningen zijn vaak niet structureel ingebed.
Veilig inkopen: de hoeksteen van informatieveiligheid
De overheid besteedt vele ICT-diensten aan, aan de markt. Naast de maatregelen die overheden zelf moeten treffen voor de informatieveiligheid, is het van groot belang dat ook de ingekochte diensten voldoen aan concrete veiligheidseisen. In opdracht van enkele ministeries is het CIP bezig met de ontwikkeling van een instrument dat daarbij helpt: de ICO-wizard, waarbij ICO staat voor Inkoopeisen Cybersecurity Overheid. Ad Reuijl (Directeur CIP) en Yosta Dammen (Productmanager BIO en ICO CIP) zullen op 1 april 2021 spreken op het congres Informatieveiligheid in de Overheid. In hun sessie zullen de achtergronden en het inkoopproces waarbinnen de veiligheidseisen worden gehanteerd worden besproken. Daarnaast zullen zij laten zien hoe de ICO-wizard werkt.
Inschrijven met korting
Als bezoeker van Security Management ontvangt u maar liefst € 50 korting op uw aanmelding. Gebruik hiervoor code IVO2020SMM. Bovendien betaalt elke tweede inschrijving van dezelfde organisatie slechts de helft van de deelnameprijs. Elke derde inschrijving mag gratis komen. www.informatieveiligheidindeoverheid.nl
Dit artikel is gesponsord door CKC Seminars.