NL EN

CISO's? CISO's!

Uit onderzoek van IBM in 7 landen blijkt dat steeds meer ondernemingen een CISO (Chief Information Security Officer) in dienst hebben. Inmiddels beschikt een kwart van de grote organisaties over deze functionaris, die verantwoordelijk is voor de IT beveiliging. Deze opmars van CISO's laat de toenemende betrokkenheid vanuit directieniveau zien. Organisaties met een CISO in dienst laten de verantwoordelijkheid voor IT-beveiliging niet langer over aan de werkvloer maar streven naar een gecoördineerde aanpak van beveiligingsproblemen en delen de verantwoordelijkheid voor het IT-beveiligingsbudget met de CEO en de CIO.

Een goed teken, maar relatief. Driekwart van de organisaties heeft immers nog geen CISO. Belangrijkste reden hiervoor lijkt te zijn te weinig budget of, in een kwart van de gevallen, helemaal geen apart IT-beveiligingsbudget. Gevolg: een onderontwikkeld securitybeleid, een slechte voorbereiding op bedreigingen en een ad hoc aanpak van security.

Naar verwachting zal er meer budget worden vrijgemaakt en zal de opmars van de CISO's nog wel aanhouden.

Ik denk dat binnen Europa het (nu nog) voorstel voor een Algemene Verordening Gegevensbescherming hier een steentje aan zal bijdragen. Zodra de Verordening in werking treedt, worden overheidsorganen en grote ondernemingen (met minimaal 250 werknemers) verplicht een Data Protection Officer (Functionaris voor Gegevensbescherming) aan te stellen. Denkbaar is dat deze functie gecombineerd wordt met die van de CISO, gezien de in artikel 37 van de Verordening opgesomde taken. Samengevat komen die neer op het toezien op de uitvoering en toepassing van privacy securitybeleid en het toezien op het documenteren, melden en meedelen van inbreuken in verband met persoonsgegevens. Een CISO zal bij uitstek over de vereiste kennis en ervaring beschikken om deze taken naar behoren te kunnen uitoefenen. Zodra de functie van DPO verplicht wordt, is de stap om meer CISO's aan te stellen en deze functies te combineren kleiner, hetgeen tot een toename van CISO's zal leiden.

Echter, bij een combinatie van de functies van DPO en CISO moet er uiteraard wel voor gewaakt worden dat de verschillende taken en verplichtingen niet tot een belangenconflict kunnen leiden. Artikel 35 lid 6 van de concept Verordening bepaalt dat ook met zoveel woorden. Daar waar een organisatie ieder risico op zo'n belangenconflict, bijvoorbeeld in de situatie waar iemand als CISO verantwoordelijk is voor de IT security en als DPO moet toezien op de melding van een datalek, wil vermijden, zouden deze rollen gescheiden moeten blijven. Maar ook dan kan ik me een verdere toename van CISO's voorstellen: als counterpart van de DPO in de organisatie. 

Klik hier voor het artikel op AutomatiseringGids en hier voor de concept Verordening.   

Afbeelding: Uniform Warehouse. 

BRON: AutomatiseringGids en EU


PAGINA DOORSTUREN

DEZE PAGINA IS SUCCESVOL DOORGESTUURD!

REACTIE (1)

Koen Versmissen woensdag 22 augustus 2012 10:10

Het is zeker denkbaar dat de functies van CISO en DPO gecombineerd worden. Wenselijk is dat in de meeste gevallen echter absoluut niet. Het is namelijk maar zeer de vraag of de CISO inderdaad, zoals hierboven gesteld wordt, “bij uitstek over de vereiste kennis en ervaring” beschikt die een DPO nodig heeft. CISO’s zijn immers bijna altijd techneuten. In mijn ervaring hanteren die vaak onbewust de benadering: privacybescherming = informatiebeveiliging specifiek voor persoonsgegevens. Een DPO die zo denkt moet je écht niet willen! Net zo min trouwens als een DPO met als insteek: privacybescherming = de WBP en alle bijbehorende jurisprudentie...

EEN REACTIE PLAATSEN

UW E-MAIL ADRES WORDT NIET GETOOND AAN ANDERE BEZOEKERS.

  1. NAAM
  2. E-MAILADRES
  3. BERICHT
  4. WANNEER U DEZE REGEL KUNT LEZEN, VUL HET VOLGENDE VELD DAN NIET IN!
  5.