Veel van de chief information security officers (ciso’s) die werkzaam zijn binnen de Nederlandse overheid vervullen hun functie solitair binnen de organisatie. Een kleine 80 procent stuurt geen enkele andere medewerker aan in het domein van informatiebeveiliging. Bovendien vervult circa 70 procent van de informatiebeveiligers ook nog een andere functie binnen de organisatie.
Dit blijkt uit de enquête ‘Hoe ervaren ciso’s hun werk en werkomgeving?’ van het Centrum voor Informatiebeveiliging en Privacybescherming (CIP). Zij ondervroeg dit najaar ruim honderd ciso’s en veertig bestuurders.
In een derde van de gevallen is de ciso-functie de enige functie. Bij de grote meerderheid wordt de ciso-rol gecombineerd met een andere functie. Dit gaat om een ict-functie (17 procent), integrale veiligheid (13 procent), Functionaris Gegevensbescherming (12 procent) of ‘overig’, waarbij het gaat om een variatie van ict-, privacy-, risk- en planning & control-functies. Ook komt de combinatie met ensia-coördinator (eenduidige normatiek single information audit, een functie die alleen bij gemeenten voorkomt) meerdere keren voor.
Hindering
Verder toont het onderzoek aan dat ciso’s en bestuurders over het algemeen eensgezind zijn over de taken en verantwoordelijkheden van de ciso, maar dat er wel wat verschillen zijn. Zo geven bestuurders grote prioriteit aan informatieveiligheid en hun zicht op potentiële risico’s en schade bij incidenten. Dat lijkt sterker en breder dan van de ciso’s. De informatiebeveiligers wensen op hun beurt dat een bestuurder meer budget beschikbaar stelt en wat beter toegankelijk is. De bestuurder ziet graag een meer adviserende ciso. Zelf zouden de ciso’s meer strategisch bezig willen zijn.
Gevraagd naar de grootste hinderpalen van ciso’s, wordt trage besluitvorming, beperkte middelen en beperkt mandaat aangehaald. Daarnaast stellen informatiebeveiligers beperkt betrokken te worden bij veranderingsprocessen in de informatievoorziening en informatieveiligheid.
Dan is er voor de CISO-functie de afgelopen decennia feitelijk weinig verbeterd. Alleen is er meer (ongewenste) bemoeienis van hoger management.
Overigens is de combinatie van de CISO-functie met die van Functionaris Gegevensbescherming (12%) in beginsel ongewenst.