Leestijd: 4 minuten

Geef het Hoofd Informatiebeveiliging / (I)SO meer tijd, budget en aandacht!

Wat is nu precies de rol en impact van de (I)SO binnen de overheid en het bedrijfsleven?

Hoofd informatiebeveiliging
Profielfoto Tobias op den Brouw
Tobias op den Brouw
Manager Advies

Tobias op den Brouw is Manager Advies en Adviseur bij CertificeringsAdvies Nederland. Zijn kernwaarden zijn helderheid, samenwerken en doelgericht werken en daarmee samen veranderingen realiseren.

tobias@certificeringsadvies.nl

De functie Security Officer (SO), of in sommige gevallen ook wel het Hoofd Informatiebeveiliging genoemd, bestaat inmiddels zo’n 20 jaar. Toch is nog altijd niet even duidelijk afgekaderd wat deze functie precies inhoudt. Wat vaststaat is dat de rol van de SO, zowel binnen de overheid als binnen het bedrijfsleven, aan het veranderen is. Om in kaart te brengen welke impact de SO nu eigenlijk heeft hebben zowel het CIP alsmede Kaspersky onderzoeken uitgevoerd. Hieronder de uitkomsten met conclusies.

(I)SO binnen overheid heeft geen tot weinig budget

Om een beeld te krijgen van de SO binnen de Nederlandse overheid heeft Centrum voor Informatiebeveiliging en Privacy (CIP) een enquête uitgevoerd. Zij ondervroegen 100 (I)SO’s en 40 bestuurders. Uit de enquête komt naar voren dat de (I)SO binnen de overheid doorgaans op hogere leeftijd (tussen de 50 en 65 jaar) is, weinig ervaring heeft in deze functie – 80% heeft minder dan 5 jaar ervaring – en dat het voor ruim tweederde van de ondervraagden (69%) een parttimefunctie betreft.

De SO binnen de overheid opereert voornamelijk alleen; 77% heeft namelijk geen team of medewerkers. Daarnaast heeft het gros van de SO’s binnen de overheid geen tot weinig budget tot zijn of haar beschikking. Het CIP, dat de enquête heeft afgenomen geeft aan dat het belangrijk is dat de SO (meer) budget krijgt, omdat dit de effectiviteit ten goede kan komen en het zelfstandig handelen van de SO kan bevorderen.

Risico’s in kaart brengen

Het is belangrijk om structureel aandacht te hebben voor informatiebeveiliging en regelmatig oefeningen – zoals hacktests en phishing-campagnes – te laten plaatsvinden. Dit helpt organisaties veilig te houden en zorgt ervoor dat signalering en response op incidenten structureel geborgd is. De meerderheid van de SO’s geeft nu bijvoorbeeld aan dat zij slecht zicht hebben op de gevolgen – in de vorm van informatiebeveiligingsschade – van incidenten.

(I)SO moet centralere rol krijgen

Waar houdt de SO zich momenteel dan mee bezig binnen de overheid? Uit de enquête blijkt dat deze vooral bezig is met ‘werken aan bewustzijn’, ‘beleid’, ‘adviseren van bestuur en directie’, ‘toezicht/audits’ en ‘risicomanagement’.

Zoals te zien in bovenstaande statistiek, speelt de SO eigenlijk geen rol bij inkopen en aanbestedingen. Daar zit gelijk een verbeterpunt, want de eisen die aan leveranciers worden meegegeven zijn momenteel erg algemeen van aard. Om daarop in te spelen is het ministerie van Binnenlandse zaken, samen met het CIP en een expertgroep, o.a. manieren aan het ontwikkelen om bij inkoop passende eisen te kunnen stellen.

Algemeen kan gesteld worden dat de SO veel centraler in een organisatie moet komen te staan om impact te hebben. Momenteel wordt deze binnen de overheid bijvoorbeeld ook niet betrokken bij veranderprocessen in de informatievoorziening (IV), terwijl daar juist aardig wat risico’s aan zitten met het oog op informatiebeveiliging.

(I)SO in bedrijfsleven krijgt (meer) adviserende rol

Wanneer we naar een ander onderzoek kijken dat onlangs – in Q3-2019 – uitgevoerd is door Kaspersky onder 305 informatiebeveiligingsleidinggevenden, dan blijkt dat de SO in het bedrijfsleven een steeds meer adviserende rol krijgt. Uit het onderzoek blijkt dat 90% van de SO’s regelmatig door het bestuur van een organisatie geraadpleegd wordt voor beveiligingsaanbevelingen. Dat leidt echter niet tot meer budget voor de SO en daarmee gepaard specifieke investeringen in beveiliging.

Het onderzoek wijst uit dat in het bedrijfsleven het topmanagement advies inwint bij hoofden binnen de IT-beveiliging, maar dat slechts 23% rapporteert aan het bestuur. Zakelijke leiders vragen doorgaans het vaakst om input van de SO nadat er een incident met betrekking tot cybersecurity heeft plaatsgevonden. Er wordt echter ook steeds vaker proactief advies ingewonnen; de SO mag steeds vaker zijn of haar deskundige mening geven over toekomstige IT-projecten.

(I)SO krijgt meer impact, maar worstelt met budget

Uit het onderzoek van Kaspersky wordt geconcludeerd dat SO’s in het bedrijfsleven steeds zichtbaarder zijn en als waardevol worden beschouwd door bestuurders. Wel ervaart de SO nog met grote regelmaat problemen om noodzakelijke uitgaven aan de IT-beveiliging te rechtvaardigen. Bovendien komen deze uitgaven uit een groter IT-budget, waardoor het concurreert met andere bedrijfs- en IT-initiatieven. Ook Kaspersky concludeert vanuit de enquête dat het belangrijk is dat de SO een eigen budget toegewezen krijgt.

Bron: CIP-overheid.nl en Kaspersky.nl

Meer informatie?

Bij CertificeringsAdvies Nederland bieden we diverse soorten diensten aan op het gebied van informatiebeveiliging. Eén van die diensten is de Security Officer as a Service (SOaaS). Middels deze outsourcingsdienst ontzorgen we jouw organisatie volledig op het gebied van informatiebeveiliging. Heb je interesse in deze dienstverlening of wil je graag meer informatie? Neem dan gerust contact met ons op.

Download Informatiegids ISO 27001

Profielfoto Tobias op den Brouw
Tobias op den Brouw
Manager Advies

Tobias op den Brouw is Manager Advies en Adviseur bij CertificeringsAdvies Nederland. Zijn kernwaarden zijn helderheid, samenwerken en doelgericht werken en daarmee samen veranderingen realiseren.

tobias@certificeringsadvies.nl

Meer weten over ISO 27001?

Download de handige informatiegids!

  • Alles over informatiebeveiliging
  • Stap voor stap inzicht
  • Antwoord op al je vragen

Maandelijks op de hoogte blijven?

Wil jij op de hoogte blijven van het laatste nieuws uit jouw branche en de nieuwste ontwikkelingen rondom (bedrijfs)normen en groeimogelijkheden voor jouw organisatie? Schrijf je dan in voor de nieuwsbrief en ontvang maandelijks een flinke dosis inspiratie met o.a.:

  • Handige kennisartikelen en praktische tips voor jouw organisatie
  • Actuele updates rondom normen en certificeringen
  • Ontwikkelingen in wet- en regelgeving
  • Interessante acties & events
  • Relevante trainingen en opleidingen

Schrijf je in voor de nieuwsbrief

Schrijf jezelf in voor onze maandelijkse nieuwsbrief door het formulier in te vullen!

"*" indicates required fields