Geef het Hoofd Informatiebeveiliging / (I)SO meer tijd, budget en aandacht!

De functie Security Officer (SO), of in sommige gevallen ook wel het Hoofd Informatiebeveiliging genoemd, bestaat inmiddels zo’n 20 jaar. Toch is nog altijd niet even duidelijk afgekaderd wat deze functie precies inhoudt. Wat vaststaat is dat de rol van de SO, zowel binnen de overheid als binnen het bedrijfsleven, aan het veranderen is. Om in kaart te brengen welke impact de SO nu eigenlijk heeft hebben zowel het CIP alsmede Kaspersky onderzoeken uitgevoerd. Hieronder de uitkomsten met conclusies.

Om een beeld te krijgen van de SO binnen de Nederlandse overheid heeft Centrum voor Informatiebeveiliging en Privacy (CIP) een enquête uitgevoerd. Zij ondervroegen 100 (I)SO’s en 40 bestuurders. Uit de enquête komt naar voren dat de (I)SO binnen de overheid doorgaans op hogere leeftijd (tussen de 50 en 65 jaar) is, weinig ervaring heeft in deze functie – 80% heeft minder dan 5 jaar ervaring – en dat het voor ruim tweederde van de ondervraagden (69%) een parttimefunctie betreft.

De SO binnen de overheid opereert voornamelijk alleen; 77% heeft namelijk geen team of medewerkers. Daarnaast heeft het gros van de SO’s binnen de overheid geen tot weinig budget tot zijn of haar beschikking. Het CIP, dat de enquête heeft afgenomen geeft aan dat het belangrijk is dat de SO (meer) budget krijgt, omdat dit de effectiviteit ten goede kan komen en het zelfstandig handelen van de SO kan bevorderen.

Het is belangrijk om structureel aandacht te hebben voor informatiebeveiliging en regelmatig oefeningen – zoals hacktests en phishing-campagnes – te laten plaatsvinden. Dit helpt organisaties veilig te houden en zorgt ervoor dat signalering en response op incidenten structureel geborgd is. De meerderheid van de SO’s geeft nu bijvoorbeeld aan dat zij slecht zicht hebben op de gevolgen – in de vorm van informatiebeveiligingsschade – van incidenten.

Waar houdt de SO zich momenteel dan mee bezig binnen de overheid? Uit de enquête blijkt dat deze vooral bezig is met ‘werken aan bewustzijn’, ‘beleid’, ‘adviseren van bestuur en directie’, ‘toezicht/audits’ en ‘risicomanagement’.

Zoals te zien in bovenstaande statistiek, speelt de SO eigenlijk geen rol bij inkopen en aanbestedingen. Daar zit gelijk een verbeterpunt, want de eisen die aan leveranciers worden meegegeven zijn momenteel erg algemeen van aard. Om daarop in te spelen is het ministerie van Binnenlandse zaken, samen met het CIP en een expertgroep, o.a. manieren aan het ontwikkelen om bij inkoop passende eisen te kunnen stellen.

Algemeen kan gesteld worden dat de SO veel centraler in een organisatie moet komen te staan om impact te hebben. Momenteel wordt deze binnen de overheid bijvoorbeeld ook niet betrokken bij veranderprocessen in de informatievoorziening (IV), terwijl daar juist aardig wat risico’s aan zitten met het oog op informatiebeveiliging.

Wanneer we naar een ander onderzoek kijken dat onlangs – in Q3-2019 – uitgevoerd is door Kaspersky onder 305 informatiebeveiligingsleidinggevenden, dan blijkt dat de SO in het bedrijfsleven een steeds meer adviserende rol krijgt. Uit het onderzoek blijkt dat 90% van de SO’s regelmatig door het bestuur van een organisatie geraadpleegd wordt voor beveiligingsaanbevelingen. Dat leidt echter niet tot meer budget voor de SO en daarmee gepaard specifieke investeringen in beveiliging.

Het onderzoek wijst uit dat in het bedrijfsleven het topmanagement advies inwint bij hoofden binnen de IT-beveiliging, maar dat slechts 23% rapporteert aan het bestuur. Zakelijke leiders vragen doorgaans het vaakst om input van de SO nadat er een incident met betrekking tot cybersecurity heeft plaatsgevonden. Er wordt echter ook steeds vaker proactief advies ingewonnen; de SO mag steeds vaker zijn of haar deskundige mening geven over toekomstige IT-projecten.

Uit het onderzoek van Kaspersky wordt geconcludeerd dat SO’s in het bedrijfsleven steeds zichtbaarder zijn en als waardevol worden beschouwd door bestuurders. Wel ervaart de SO nog met grote regelmaat problemen om noodzakelijke uitgaven aan de IT-beveiliging te rechtvaardigen. Bovendien komen deze uitgaven uit een groter IT-budget, waardoor het concurreert met andere bedrijfs- en IT-initiatieven. Ook Kaspersky concludeert vanuit de enquête dat het belangrijk is dat de SO een eigen budget toegewezen krijgt.

Bron: CIP-overheid.nl en Kaspersky.nl

Bij CertificeringsAdvies Nederland bieden we diverse soorten diensten aan op het gebied van informatiebeveiliging. Eén van die diensten is de Security Officer as a Service (SOaaS). Middels deze outsourcingsdienst ontzorgen we jouw organisatie volledig op het gebied van informatiebeveiliging. Heb je interesse in deze dienstverlening of wil je graag meer informatie? Neem dan gerust contact met ons op.