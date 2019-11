Het CIP heeft een enquête gehouden onder CISO's bij de overheid en daarvan namen meer dan 100 de gelegenheid erop te reageren. Reden voor het onderzoek was tweeledig: de functie van CISO bestaat ruwweg twintig jaar en voor de invulling van de functie bestaat nog steeds geen duidelijke omkaderde definitie. Het CIP wilde wel eens weten wie die CISO bij de overheid dan wel is.

En dat gaf een deels zorgwekkend beeld. Het overgrote deel van de CISO's is tussen de 50 en de 65 jaar (gemiddelde leeftijd is 55 jaar). Maar 40 procent heeft 0 tot 2 jaar ervaring en nog eens 40 procent heeft 2 tot 5 jaar ervaring. Maar liefst 69 procent heeft een parttime functie en 77 procent heeft geen medewerkers. Liefst 62 procent heeft geen of slechts een klein budget. De meeste CISO's die op de enquête hebben gereageerd werken bij gemeenten.

"Dit komt de status en slagvaardigheid van deze 'solistische' functie niet ten goede", zo vinden de onderzoekers. "Aangeraden wordt de CISO te voorzien van een eigen budget. Dit kan zijn

effectiviteit ten goede komen, het zelfstandig handelen bevorderen en de zelfstandige positie in de organisatie helpen verstevigen. Kortom, meer armslag én een steun in de rug voor deze taaie 'gewetensrol'!"

Ook wordt gesignaleerd dat de CISO niet of nauwelijks een rol speelt bij inkoop en aanbestedingen. "Hier ligt een urgent verbeterpunt in organisaties en een stevige taak voor de CISO", vinden de onderzoekers. Volgens hen krijgt de CISO hierin hulp van Binnenlandse Zaken omdat dat ministerie samen met CIP en een interbestuurlijke expertgroep "tooling om bij inkopen passende eisen op het gebied van informatiebeveiliging (IB) te kunnen selecteren".

Daarnaast wordt de CISO vaak niet betrokken bij veranderprocessen in de informatievoorziening (IV), terwijl dat risico's met zich meebrengt in de informatiebeveiliging. Dat laatste moet een integraal onderdeel zijn van IV, vindt het CIP, en dus moet de CISO in dat proces structureel worden betrokken.