Heliview-congres IT & Information Security: CISO is niet voor erbij

Security-as-a-Service

IT-security en privacy krijgen doorgaans ruim aandacht in de media, al was het alleen maar vanwege de groeiende reeks beveiligingsincidenten en de buzz rondom GDPR. Toch blijkt dat de taken van de Chief Information & Security Officer in de praktijk vaak ‘even erbij’ worden gedaan.

Veel aanzien of mandaat heeft de CISO doorgaans nog niet. Het Heliview congres IT & Information Security van afgelopen 6 februari peilde onder meer hoe het gesteld is met de CISO anno 2018.

 

Helder beeld

Een paneldiscussie onder leiding van Roelof Hemmen leverde een helder beeld op van hoe troebel de rol en positie van de huidige CISO eigenlijk nog is. Don Eijndhoven, CEO van cybersecuritybedrijf Argent Consulting, stelt dat het met de CISO over het algemeen niet best is gesteld. “Wij zitten in bestuurlijk opzicht vaak op de verkeerde plek en wij moeten concurreren met IT, ook budgettair. Bovendien moet een CISO weet hebben van een enorme breedte aan onderwerpen, wat nauwelijks door één individu te doen is.”

Chief Information Security & Privacy Officer bij PON Rence Damming constateert dat it-security vooral wordt opgepakt door voormalige fysieke beveiligers. “Vaak hebben mensen, bij gebrek aan betere toestroom, een bepaalde pet op gekregen.”

Hoogleraar Cyberseurity Governance Bibi van den Berg ziet vanuit de onderwijswereld hetzelfde beeld. “Het veld verbreedt zich in rap tempo en de uitdagingen worden steeds groter. Mensen hebben moeite om aangehaakt te blijven binnen die hectische dynamiek. Volgens mij is de CISO van de toekomst meer een bruggenbouwer tussen de diverse experts.”

Dwarsdoorsnede

Een rondgang langs het publiek geeft goed de door de panelleden geschetste problematiek weer. Een ‘selfmade’ CISO vertelt dat hij zichzelf al decennia met studies bijspijkert en zich nu met privacywetgeving bezighoudt.

Een jonge vrouw zonder it-achtergrond is tot security officer gebombardeerd vanwege een 27001-certificering. Zij ziet zichzelf inderdaad als die bruggenbouwer, maar mist naar eigen zeggen it-kennis. Een andere CISO is min of meer tegen zijn zin aangesteld in die rol en weer een ander vertelt dat ze per ongeluk een paar keer de rol van CISO moest invullen, omdat die functie nog niet goed bemenst was. “Kennis en kunde is slechts één kant van de medaille”, zegt ze. “Het gaat ook om mandaat. Een afweging tussen de noodzaak van het in de lucht houden van de website en het in orde brengen van de security daarvoor, moet misschien wel op het hoogste niveau worden gemaakt.”

 

Dwarsdoorsnede

Een volgende spreker is als informatiemanager werkzaam in het onderwijs. Het is voor hem een probleem om de business mee te krijgen. Tegelijkertijd voelt hij de druk van de wet. “Ik moet ook nog iets doen aan innovatie, dus dat CISO-schap doe ik erbij.”

De door de panelleden geschetste problemen worden door het publiek bevestigd. Ook blijkt duidelijk dat er nauwelijks een dwarsdoorsnede valt te maken van dé CISO.

Lees het hele verhaal online of in ICT/Magazine van januari/februari.

Gerelateerde berichten...