CIP Enquête onder overheids-CISO’s

• Versie def
• Download(s) 79
• Bestandsomvang 1.18 MB
• Bijgewerkt op 22 november 2019

Hoe ervaren CISO’s hun werk en werkomgeving? Je leest het in dit onderzoek van het CIP. De invulling van de functie binnen de overheid is onderzocht vanuit het perspectief van CISO’s én betrokken bestuurders.

Samenvatting en aandachtspunten

Ondanks het gegeven dat de gemiddelde leeftijd van de CISO 55 jaar bedraagt, is de ervaring in de functie van CISO relatief kort. 40% geeft aan slechts 0 tot 2 jaar werkervaring te hebben en nog eens 40% 3 tot 5 jaar.

Veel CISO’s rapporteren aan een bestuurder of directeur.Uit het oogpunt van risicomanagement en toezicht heeft het grote voordelen dat de CISO een neutrale positie inneemt t.o.v. de verantwoordelijke voor informatievoorziening en ICT. Het onderzoek laat zien dat deze rapportagelijn binnen veel organisaties al gangbaar is. Tegelijkertijd is het een aanmoediging om deze werkwijze door te voeren daar waar de CISO nu nog rapporteert aan de CIO en onderdeel is van de ICT/CIO-organisatie.

Over de beschikbare capaciteit van CISO’s is het beeld niet positief. Voor 69% van de CISO’s betreft het een parttime functie. 77% heeft geen team of medewerkers. 40% heeft geen budget (22% een heel klein budget). Dit komt de status en slagvaardigheid van deze‘solistische’ functie niet ten goede. Aangeraden wordt de CISO te voorzien van een eigen budget.Dit kan zijn effectiviteit ten goede komen, het zelfstandig handelen bevorderen en de zelfstandige positie in de organisatie helpen verstevigen. Kortom, meer armslag én een steun in de rug voor deze taaie ‘gewetensrol’!

Taakopvattingen omtrent rol van de CISO bij henzelf en bij de bestuurders zijn behoorlijk congruent. Daarbij valt op dat een rol voor de CISO bij inkopen en aanbestedingen nauwelijks wordt gezien. Dit blijkt ook uit een vraagstelling over de eisen die meegegeven worden aan leveranciers. Die blijken zeer algemeen van aard. Hier ligt een urgent verbeterpunt in organisaties en een stevige taak voor de CISO. Hulp is inmiddels onderweg, want het ministerie van BZK ontwikkelt samen met CIP en een interbestuurlijke expertgroep, tooling om bij inkopen passende eisen op het gebied van informatiebeveiliging (IB) te kunnen selecteren.

Het is opvallend dat CISO’s meer bewustwording over IB-risico’s willen zien bij hun bestuurders, terwijl de risicoperceptie bij bestuurders in het algemeen zelfs hoger ligt dan bij de CISO’s zelf. Meer frequent onderling overleg kan zorgen voor een betere afstemming tussen beide partijen.

In 43% van de gevallen is de CISO niet of alleen incidenteel betrokken bij IV-veranderingen. Het is daarom van belang dat de CISO op structurele basis betrokken is bij de veranderingsprocessen in de informatievoorziening. Informatieveiligheid is namelijk een steeds dominanter kwaliteitsaspect en moet als integraal onderdeel worden meegenomen en geborgd.

Desgevraagd geven de responderende CISO’s aan slechts in beperkte mate zicht te hebben op de omvang of het effect van IB-gerelateerde schade bij incidenten.70% geeft te kennen daarop onvoldoende (45%), of zelfs helemaal geen zicht (25%) te hebben. Zijn er te weinig harde gegevens bekend bij de CISO’s uit risicoanalyses? Harde conclusies zijn niet mogelijk. Maar aangezien ook de Baseline Informatiebeveiliging Overheid (BIO) risicoanalyses veronderstellen, is dit op zijn minst een aandachtspunt.

92% van de organisaties voert hack-/pentests uit. Phishing campagnes komt in 62% van de organisaties voor, mystery guests in 48% en periodieke crisisoefeningen in 30% van de organisaties. Oefeningen zijn vaak niet structureel ingebed. CIP adviseert om hier periodiek aandacht aan te besteden.Dit helpt organisaties veilig te houden en zorgt ervoor dat signalering en response op incidenten structureel geborgd is.

Aansluitingen op het Nationaal Detectie Netwerk (NDN) zijn schaars. Het is aan te raden om het NDN toegankelijk te maken voor de gehele overheid. Dit kan een verbetering tot stand brengen in de signalering van cyberdreigingen. Ook Information Sharing & Analysis Centers (ISAC’S), kennen weinig deelname en uitstraling naar buiten. Veel kleinere organisaties blijven hierdoor verstoken van nuttige informatie over kwetsbaarheden en incidenten en hoe daarmee om te gaan. Ook de relatieve onbekendheid (onder CISO’s) van dit soort organisaties is een opvallende enquête-uitkomst. Het op neutrale wijze breder uitdragen van de uitwisselingen binnen de ISAC’s kan een oplossing zijn voor diegenen die niet kunnen deelnemen aan een ISAC. CIP kan hier t.g.t. een rol in spelen in samenwerking met het Nationaal Cyber Security Centrum (NCSC).

Bestand(en)