De CISO binnen de Nederlandse overheid

Wanneer je denkt dat binnen elke overheidsorganisatie de CISO rol op dezelfde manier wordt ingevuld, dan kun je het wel eens mis hebben. De rol is namelijk niet wettelijk omschreven. Het Centrum voor Informatiebeveiliging en Privacybescherming (CIP) onderzocht hoe CISO’s binnen de Nederlandse overheid hun werk en werkomgeving ervaren. In deze blog belicht ik graag de drie belangrijkste conclusies. En natuurlijk ook hoe wij als IB&P CISO’s kunnen helpen hun rol en verantwoordelijkheid (nog) beter in te vullen.

Conclusie 1: De CISO staat er alleen voor

Het overgrote deel (77%) van de CISO’s die hebben deelgenomen aan het onderzoek zegt geen enkele andere collega op het vlak van informatiebeveiliging (hiërarchisch) aan te sturen. Dat is opvallend, aangezien het implementeren van informatiebeveiligingsbeleid én het toezicht daarop de verantwoordelijkheid is van de CISO. Als je het mij vraagt een belangrijke en ook grote verantwoordelijkheid. En dan te bedenken dat 41% ook geen decentrale medewerker functioneel aanstuurt.

Conclusie 2: Een veelheid aan taken

Soms kan het hebben van verschillende taken positief zijn, bijvoorbeeld om je expertise op meerdere vlakken in te zetten. Bij een onderwerp als informatiebeveiliging, dat veel aandacht vergt, én een CISO die er alleen voor staat (zie conclusie 1) is dit zeker geen positief gegeven. De druk kan dan voor de CISO gemakkelijk (te) hoog worden.

Van de ondervraagden heeft 69% nog een andere functie, zoals een ICT-, privacy-, risk- of planning & control-functie. Ook de combinatie met ENSIA-coördinator komt meerdere malen voor. Van de CISO’s die minder dan twee jaar ervaring hebben als CISO (40%), is maar liefst 75% parttime CISO. Kortom, krijgt de CISO functie wel voldoende prioriteit?

Er zijn CISO’s (12%) die hun functie combineren met die van Functionaris Gegevensbescherming (FG) terwijl dit niet wenselijk is. Ook de combinatie met een ICT-functie komt voor (16%), maar is natuurlijk net zo onwenselijk, aangezien je dan je ‘eigen vlees moet keuren’, en dit kan je geloofwaardigheid en betrouwbaarheid schaden.

Conclusie 3: Werkervaring, of juist het tekort eraan

Als derde conclusie haal ik graag de werkervaring van de CISO’s aan. Het overgrote deel van de CISO’s (ca. 75%) heeft meer dan 20 jaar werkervaring. 60% Van de CISO’s heeft meer dan 6 jaar ervaring binnen het vakgebied informatiebeveiliging. De werkervaring van CISO’s in de functie van CISO zelf is daarentegen zeer beperkt; van alle CISO’s in het onderzoek van CIP geeft 40% aan slechts 0 tot 2 jaar werkervaring te hebben en nog eens 40% 3 tot 5 jaar. En dat terwijl het beroep van CISO al ongeveer 20 jaar bestaat. Kennelijk is het een functie waar mensen niet lang op (willen) blijven zitten.

Herkenbaar?

Herken jij jezelf als CISO binnen jouw gemeente in de bovenstaande conclusies? Dan hebben wij iets interessants voor je. IB&P biedt namelijk speciaal voor (gemeentelijke) CISO’s coaching als dienstverlening aan.

Gedurende een 10 weken durend traject word je als CISO gecoacht. De coaching is niet alleen vakinhoudelijk, maar ook gericht op hoe jij je rol als CISO binnen jouw organisatie het beste kunt invullen. Hoe creëer je draagvlak? Hoe betrek je lijnmanagers bij informatiebeveiliging? Hoe krijg je informatiebeveiliging op de agenda van het management?

Aangezien elke gemeente, maar ook elke persoon, nét iets anders in elkaar zit en iedereen andere ondersteuning/inzichten nodig heeft, is ook persoonlijke coaching binnen jouw organisatorische context mogelijk.

Nu denk je wellicht: ‘Ik ben geïnteresseerd! Hoe gaat het in zijn werk?’. Dat leg ik je graag uit.

Intake

Voorafgaand aan het traject vindt er een intake met jou bij jouw gemeente plaats om het coachingsplan te bepalen. Deze intake vindt bewust binnen jouw organisatie plaats, zodat we ook jouw werkomgeving kunnen meenemen bij het vaststellen van het coachingsplan. Hierbij zullen we ook kijken naar het organogram van jouw organisatie en welke positie jij binnen de organisatie bekleedt. Ook wordt er gekeken naar de functieomschrijving van jouw rol in de organisatie. Op die manier krijgt de coach een zo goed mogelijk beeld van jou binnen je werkomgeving.

Coachingsgesprekken

Om de week vindt er een (online) coachingsgesprek plaats van 45 minuten via Microsoft Teams (de opvolger van Skype for Business). Een goede voorbereiding vanuit jouw kant is hierbij cruciaal. Je kunt je voorbereiden door het maken van je ‘huiswerk’, dat naadloos is afgestemd op de onderwerpen in je coachingsplan. Maar ook door het mailen van je coach met onderwerpen die je graag wilt bespreken tijdens het coachingsgesprek. Denk bijvoorbeeld aan situaties die je meemaakt op de werkvloer die je graag wilt bespreken.

Uiteraard wordt er met jou afgestemd op welke dag en tijdstip de coachingsgesprekken voor jou het beste schikken.

GROW

Om structuur aan te brengen in de coachingsgesprekken en er zeker van te zijn dat voor jou het gewenste resultaat wordt behaald, is het noodzakelijk om te werken met een specifiek model. Binnen IB&P hebben wij gekozen voor het GROW coachingsmodel. GROW staat voor:

G         Goal: het doel: wat wil je bereiken?

R         Reality: de huidige situatie: waar sta je nu?

O         Options: de mogelijke oplossingen: welke opties heb je?

W        Will: Wat is het plan? Welke keuzes maak je?

De kracht van het GROW-model is dat het in vier overzichtelijke stappen leidt tot een duidelijk eindresultaat. Doordat je zelf actief bent in het verhelderen van het probleem en het genereren van ideeën, beklijft de uiteindelijke oplossing beter, aangezien jij zélf als het ware aan het stuur staat.

Aan het einde van de 10 weken bekijk je samen met je coach of de afspraken hebben geleid tot het gewenste resultaat. Het GROW coachingsmodel is ervarend leren: reflectie, inzicht, kiezen en doen, spelen een belangrijke rol. Het succes van het traject is mede afhankelijk van de tijd en de energie die je er zelf in investeert. Naast de coaching bevat het traject tevens een e-learning programma van 8 weken. Tijdens deze cursus leer je diverse vaardigheden en technieken waarmee jij effectief als CISO kunt opereren binnen je werkomgeving.

Een vliegende start?

Wil jij een vliegende start als CISO in 2020? Meld je dan nu aan voor een coachingsprogramma van IB&P. Heb je nog vragen over het coachingstraject? Neem dan gerust contact met ons op of kijk eens op mijn.ib-p.nl.

Ps. Heb je nog opleidingsbudget in dit jaar? Regel dan nog dit jaar je toegang tot een coachingstraject en krijg 15% korting in onze shop met de code coachingCISO2019.

Renco Schoemaker
Recente berichten van Renco Schoemaker (bekijk alles)
    Toekomstscenario’s voor ENSIA – deel 1
    Contract en leveranciersmanagement; mitsen en maren bij informatiebeveiliging