Ga direct naar inhoud

Enquête CISO’s binnen de Nederlandse overheid

Expertblogs

Weblogbericht | 28-11-2019 | NCSC

Het Centrum Informatiebeveiliging en Privacybescherming (CIP) heeft in september van dit jaar een enquête gehouden onder CISO’s binnen de Nederlandse overheid. Het resultaat ervan, dat onlangs is gepubliceerd, is erg interessant. Ik ga niet het hele rapport bespreken, maar een aantal punten die mij opvallen wil ik graag benoemen.

De samenvatting van wat ik uit het rapport haal is dat, ondanks de grote stappen die we in Nederland hebben gemaakt op het gebied van informatiebeveiliging, we ook nog wel een weg te gaan hebben. Een van die grote stappen is dat veel organisaties tegenwoordig een CISO in dienst hebben. Dat lees ik zelf ook terug in het aantal jaren CISO-ervaring van de CISO’s (5.2). Dat is relatief beperkt, omdat er jaren terug simpelweg niet zoveel CISO-functies beschikbaar waren. Andere stappen die we gemaakt hebben zijn dat organisaties zich meer bewust zijn van het belang van informatiebeveiliging (7.1) en dat CISO’s aan directies rapporteren.

Dat organisaties nog wel een weg te gaan hebben, zien we o.a. in 7.3, waarin beschreven wordt waar CISO’s hinder van ondervinden bij hun functie-uitvoering. Trage besluitvorming, conflicterende belangen en beperkte middelen zijn enkele voorbeelden. Het is ook te zien in 6.4, waar staat dat CISO’s zich weinig bezighouden met input/leveranciersmanagement en juist veel met bewustwording. Dat eerste vind ik wel opmerkelijk, omdat het beter is om aandacht te hebben bij het ontwikkelen of inkopen van nieuwe systemen en de juiste eisen te stellen aan leveranciers dan op een later moment bestaande systemen proberen veiliger te krijgen. De indruk die ik uit dit alles opmaak is zoals ik het zelf in het verleden als security officer heb ervaren. Namelijk, organisaties geven aan dat ze informatiebeveiliging belangrijk vinden, maar handelen daar nog niet volledig naar.

In punt 9.2 lezen we dat slechts 30% van de CISO’s aangeeft voldoende zicht te hebben op de omvang of het effect van informatiebeveiliging-gerelateerde schade bij incidenten. Dat is naar mijn idee veel te laag. Goed zicht hebben op je risico’s is namelijk noodzakelijk om ze te kunnen aanpakken. Niet geheel onterecht dus dat de aankomende BIO meer dan de voorgaande baselines roept om het uitvoeren van risicoanalyses. Mijn advies aan iedere organisatie die nog weinig aan risicoanalyse doet, is om met name daar werk van te maken.

Hugo Leisink

Meer weblogberichten

Reactie toevoegen

U kunt hier een reactie plaatsen. Ongepaste reacties worden niet geplaatst. Uw reactie mag maximaal 2000 karakters tellen.

* verplichte velden

Uw reactie mag maximaal 2000 karakters lang zijn.

Reacties

Er zijn nu geen reacties gepubliceerd.