De CISO binnen de Nederlandse overheid


Wanneer je denkt dat binnen elke overheidsorganisatie de CISO rol op dezelfde manier wordt ingevuld, dan kun je het wel eens mis hebben. De rol is namelijk niet wettelijk omschreven. Het Centrum voor Informatiebeveiliging en Privacybescherming (CIP) onderzocht hoe CISO’s binnen de Nederlandse overheid hun werk en werkomgeving ervaren. In deze blog belicht ik graag de drie belangrijkste conclusies. En natuurlijk ook hoe wij als IB&P CISO’s kunnen helpen hun rol en verantwoordelijkheid (nog) beter in te vullen.

Conclusie 1: De CISO staat er alleen voor

Het overgrote deel (77%) van de CISO’s die hebben deelgenomen aan het onderzoek zegt geen enkele andere collega op het vlak van informatiebeveiliging (hiërarchisch) aan te sturen. Dat is opvallend, aangezien het implementeren van informatiebeveiligingsbeleid én het toezicht daarop de verantwoordelijkheid is van de CISO. Als je het mij vraagt een belangrijke en ook grote verantwoordelijkheid. En dan te bedenken dat 41% ook geen decentrale medewerker functioneel aanstuurt.

Conclusie 2: Een veelheid aan taken

Soms kan het hebben van verschillende taken positief zijn, bijvoorbeeld om je expertise op meerdere vlakken in te zetten. Bij een onderwerp als informatiebeveiliging, dat veel aandacht vergt, én een CISO die er alleen voor staat (zie conclusie 1) is dit zeker geen positief gegeven. De druk kan dan voor de CISO gemakkelijk (te) hoog worden.

Van de ondervraagden heeft 69% nog een andere functie, zoals een ICT-, privacy-, risk- of planning & control-functie. Ook de combinatie met ENSIA-coördinator komt meerdere malen voor. Van de CISO’s die minder dan twee jaar ervaring hebben als CISO (40%), is maar liefst 75% parttime CISO. Kortom, krijgt de CISO functie wel voldoende prioriteit?

Er zijn CISO’s (12%) die hun functie combineren met die van Functionaris Gegevensbescherming (FG) terwijl dit niet wenselijk is. Ook de combinatie met een ICT-functie komt voor (16%), maar is natuurlijk net zo onwenselijk, aangezien je dan je ‘eigen vlees moet keuren’, en dit kan je geloofwaardigheid en betrouwbaarheid schaden.

Conclusie 3: Werkervaring, of juist het tekort eraan

Als derde conclusie haal ik graag de werkervaring van de CISO’s aan. Het overgrote deel van de CISO’s (ca. 75%) heeft meer dan 20 jaar werkervaring. 60% Van de CISO’s heeft meer dan 6 jaar ervaring binnen het vakgebied informatiebeveiliging. De werkervaring van CISO’s in de functie van CISO zelf is daarentegen zeer beperkt; van alle CISO’s in het onderzoek van CIP geeft 40% aan slechts 0 tot 2 jaar werkervaring te hebben en nog eens 40% 3 tot 5 jaar. En dat terwijl het beroep van CISO al ongeveer 20 jaar bestaat. Kennelijk is het een functie waar mensen niet lang op (willen) blijven zitten.

Herkenbaar?

Herken jij jezelf als CISO binnen jouw gemeente in de bovenstaande conclusies? Dan hebben wij iets interessants voor je. IB&P biedt namelijk speciaal voor (gemeentelijke) CISO’s coaching als dienstverlening aan.

Gedurende een 10 weken durend traject word je als CISO gecoacht. De coaching is niet alleen vakinhoudelijk, maar ook gericht op hoe jij je rol als CISO binnen jouw organisatie het beste kunt invullen. Hoe creëer je draagvlak? Hoe betrek je lijnmanagers bij informatiebeveiliging? Hoe krijg je informatiebeveiliging op de agenda van het management?

Aangezien elke gemeente, maar ook elke persoon, nét iets anders in elkaar zit en iedereen andere ondersteuning/inzichten nodig heeft, is ook persoonlijke coaching binnen jouw organisatorische context mogelijk.

Nu denk je wellicht: ‘Ik ben geïnteresseerd! Hoe gaat het in zijn werk?’. Dat leg ik je graag uit.

Intake

Voorafgaand aan het traject vindt er een intake met jou bij jouw gemeente plaats om het coachingsplan te bepalen. Deze intake vindt bewust binnen jouw organisatie plaats, zodat we ook jouw werkomgeving kunnen meenemen bij het vaststellen van het coachingsplan. Hierbij zullen we ook kijken naar het organogram van jouw organisatie en welke positie jij binnen de organisatie bekleedt. Ook wordt er gekeken naar de functieomschrijving van jouw rol in de organisatie. Op die manier krijgt de coach een zo goed mogelijk beeld van jou binnen je werkomgeving.

Coachingsgesprekken

Om de week vindt er een (online) coachingsgesprek plaats van 45 minuten via Microsoft Teams (de opvolger van Skype for Business). Een goede voorbereiding vanuit jouw kant is hierbij cruciaal. Je kunt je voorbereiden door het maken van je ‘huiswerk’, dat naadloos is afgestemd op de onderwerpen in je coachingsplan. Maar ook door het mailen van je coach met onderwerpen die je graag wilt bespreken tijdens het coachingsgesprek. Denk bijvoorbeeld aan situaties die je meemaakt op de werkvloer die je graag wilt bespreken.

Uiteraard wordt er met jou afgestemd op welke dag en tijdstip de coachingsgesprekken voor jou het beste schikken.

GROW

Om structuur aan te brengen in de coachingsgesprekken en er zeker van te zijn dat voor jou het gewenste resultaat wordt behaald, is het noodzakelijk om te werken met een specifiek model. Binnen IB&P hebben wij gekozen voor het GROW coachingsmodel. GROW staat voor:

G         Goal: het doel: wat wil je bereiken?

R         Reality: de huidige situatie: waar sta je nu?

O         Options: de mogelijke oplossingen: welke opties heb je?

W        Will: Wat is het plan? Welke keuzes maak je?

De kracht van het GROW-model is dat het in vier overzichtelijke stappen leidt tot een duidelijk eindresultaat. Doordat je zelf actief bent in het verhelderen van het probleem en het genereren van ideeën, beklijft de uiteindelijke oplossing beter, aangezien jij zélf als het ware aan het stuur staat.

Aan het einde van de 10 weken bekijk je samen met je coach of de afspraken hebben geleid tot het gewenste resultaat. Het GROW coachingsmodel is ervarend leren: reflectie, inzicht, kiezen en doen, spelen een belangrijke rol. Het succes van het traject is mede afhankelijk van de tijd en de energie die je er zelf in investeert. Naast de coaching bevat het traject tevens een e-learning programma van 8 weken. Tijdens deze cursus leer je diverse vaardigheden en technieken waarmee jij effectief als CISO kunt opereren binnen je werkomgeving.

Een vliegende start?

Wil jij een vliegende start als CISO in 2020? Meld je dan nu aan voor een coachingsprogramma van IB&P. Heb je nog vragen over het coachingstraject? Neem dan gerust contact met ons op of kijk eens op mijn.ib-p.nl.

Ps. Heb je nog opleidingsbudget in dit jaar? Regel dan nog dit jaar je toegang tot een coachingstraject en krijg 15% korting in onze shop met de code coachingCISO2019.

Renco Schoemaker

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Bijeenkomsten

Alleen voor CISO’s van de (lokale) overheid!

Bekijk wanneer de volgende bijeenkomst is.

Alleen voor Privacy Officers van de (lokale) overheid!

Bekijk wanneer de volgende bijeenkomst is.

Meer blogs lezen

Waar gaat de Wet digitale overheid over?

Vorig jaar is het wetsvoorstel voor de Wet digitale overheid (Wdo) aangenomen door de Tweede Kamer. Maar waar gaat deze wet nu precies over? Wanneer gaat de wet (pas) van kracht en wat betekent dit voor jouw gemeentelijke organisatie?

Beleid voor informatiebeveiliging in bredere context

Een informatiebeveiligingsbeleid zou niet uit de lucht moeten komen vallen, maar een logisch gevolg van andere beleid en relevante, actuele ontwikkelingen. Juist die zetten we voor je op rij in deze blog. Handig, toch?

Digitale weerbaarheid verhogen – de basis op orde

De digitalisering gaat snel. Naast voordelen, brengt dit ook nieuwe kwetsbaarheden en dreigingen met zich mee. De BIO benoemd een aantal processen die je als randvoorwaardelijk zou kunnen bestempelen om je digitale weerbaarheid te verhogen. Welke …

Wat kunnen we leren van gemeente Amersfoort?

Eind mei is het eindrapport van de Rekenkamer Amersfoort naar de bescherming van persoonsgegevens verschenen. Hoe beschermt de gemeente de gegevens van haar inwoners? Hoe doen derden dat? En wat kunnen andere gemeenten leren van Amersfoort?

Privacy: prioriteit of moetje?

Deze week bestond de AVG-privacywet drie jaar. De afgelopen jaren hebben gemeenten hard gewerkt om deze privacywet te implementeren. De grootste frustratie van CISO’s, Privacy Officers en FG’s hierbij, is om de aandacht van bestuurders voor dit on…

Met de BIO bezig blijven: hoe lang?

De implementatie van de Baseline Informatiebeveiliging Overheid (BIO) is geen eenvoudige opgave. Waarom wil het niet zo vlotten? Dat staat centraal in deze blog.