Computable.nl
  • Thema’s
    • Carrière
    • Innovatie & Transformatie
    • Cloud & Infrastructuur
    • Data & AI
    • Governance & Privacy
    • Security & Awareness
    • Software & Development
    • Werkplek & Beheer
  • Sectoren
    • Channel
    • Financiële dienstverlening
    • Logistiek
    • Onderwijs
    • Overheid
    • Zorg
  • Computable Awards
    • Overzicht
    • Nieuws
    • Winnaars
    • Partner worden
  • Vacatures
    • Vacatures bekijken
    • Vacatures plaatsen
  • Bedrijven
    • Profielen
    • Producten & Diensten
  • Kennisbank
  • Nieuwsbrief

De CEO is ook de CSO, dus weg ermee

07 maart 2013 - 15:584 minuten leestijdOpinieSecurity & Awareness
mr.drs. Walter van Holst
mr.drs. Walter van Holst

Het is zo’n klassieke riedel. Ict wordt steeds belangrijker in de samenleving en ook voor onze organisatie. Nu beveiliging steeds belangrijker blijkt en het maar niet lijkt te lukken stellen we een chief security officer (cso) aan, net zoals we een chief information officer (cio) aanstelden toen we er achter kwamen dat ict ‘best’ belangrijk is. In dit artikel een pleidooi tegen deze gedachte.

Het grootste bezwaar tegen de chief security officer (CSO) is dat informatiebeveiliging van iedereen in de organisatie is. Van de receptionist die geen bezoeker zonder begeleiding langs de receptie laat tot individuele medewerkers die er voor zorgen dat ze geen usb-sticks laten rondslingeren en die daar op aan kunnen worden gesproken door hun lijnmanager en personeelszaken. Of dat de boekhoudafdeling zo is ingericht dat degene die facturen van crediteuren goedkeurt niet dezelfde persoon is die het crediteurenbestand beheert.  Informatiebeveiliging is dan ook per definitie geen ict-probleem, maar een organisatieprobleem met ict-aspecten die de hele organisatie raken. Het hoort dus de verantwoordelijkheid van de ceo te zijn. Met een grote rol voor de cio, want die blijft verantwoordelijk voor de ict-kant van de informatiebeveiliging.

Sterker nog, het aanstellen van een cso zal tot dezelfde reflexen leiden als je al ziet bij chief compliance officers en chief privacy officers: het verwordt tot nog een loket waar je een vinkje moet halen en als het vinkje eenmaal gegeven is kan het niet langer meer jouw schuld zijn. Immers: de cso vond het toch goed, dus hoefde er toch niet meer over nagedacht te worden? Wat helemaal eng is aangezien onze instincten en reflexen slecht verenigbaar lijken te zijn met de alledaagse realiteit van informatiebeveiliging. Wat betekent dat we heel zelden ook intuïtief door zullen hebben dat er iets niet goed gaat.

Lek blijft lek

Gemak dient veelal de mens (zie het onzalige plan om stemcomputers weer een nieuw leven in te blazen) en de negatieve gevolgen lijken vaak te ver weg om meegenomen te worden. En ook met een cso zal lekke software lek blijven zolang broncodeaudits geen gewoonte zijn omdat softwarebouwers schermen met  auteursrechten en bedrijfsgeheimen, tenzij de cso ook de bevoegdheden en budgetten krijgt om software uitsluitend om beveiligingsredenen te veranderen. Leveranciers beroepen zich in de praktijk overigens vaak het hardste op auteursrechten en bedrijfsgeheimen de code het rommeligste is. De cso leidt tot achteroverleunen van de organisatie, niet tot een blijvend groter veiligheidsbewustzijn.

Wat er wel moet gebeuren is dat we bereid moeten zijn pijn te lijden. Dus niet de boodschapper van het slechte nieuws proberen op te knopen zoals met ‘hacker’ Henk Krol is gedaan. Maar die omhelzen. Getroffenen van datalekken met gezwinde spoed informeren zodat zij kunnen voorkomen dat zij slachtoffer worden van identiteitsfraude. Organisaties zouden verwachtingen met betrekking tot de beveiliging van systemen eens nader kunnen vaststellen en uitspreken dan ‘het moet gewoon veilig zijn’. En leveranciers daar ook aan houden.

Wellicht wordt het eens tijd voor de (Europese) wetgever om daar prikkels voor te scheppen.  De voorgestelde meldplicht voor datalekken kan meer betekenen voor organisaties dan welke cso dan ook.  Een productaansprakelijkheid voor inherent lekke ict-producten wellicht ook. En niet te vergeten: die ambachtelijke systeembeheerder en programmeur die beargumenteerd iets willen of juist niet willen omwille van beveiliging zouden eens geen uitbrander maar een pluim moeten krijgen.  Maar dat vereist de erkenning dat het mensenwerk blijft en dat we niet weg kunnen vluchten in het aanstellen van eenzame functionarissen die tegen een bierkaai van onkunde, gemakzucht en technologie-fetisjisme mogen gaan vechten.

Kortom, bij uitstek een klus voor een ceo, die toch al dienend aan het succes van de organisatie dient te zijn.

Deel

    Inschrijven nieuwsbrief Computable

    Door te klikken op inschrijven geef je toestemming aan Jaarbeurs B.V. om je naam en e-mailadres te verwerken voor het verzenden van een of meer mailings namens Computable. Je kunt je toestemming te allen tijde intrekken via de af­meld­func­tie in de nieuwsbrief.
    Wil je weten hoe Jaarbeurs B.V. omgaat met jouw per­soons­ge­ge­vens? Klik dan hier voor ons privacy statement.

    Whitepapers

    Computable.nl

    Staat van Digitale Connectiviteit binnen de Bouw- en Installatiebranche 2025

    Digitale connectiviteit is de kern van veel processen in de bouw en volgens insiders van strategisch belang voor de toekomst van de sector. Waar sta jij?

    Computable.nl

    GenAI: Veiligheidsrisico of wapen tegen dreiging?

    Wat AI betekent voor jouw securityaanpak? Alles over de risico’s en strategieën om GenAI verantwoord in te zetten.

    Computable.nl

    Bouw de AI-organisatie niet op los zand

    Wat is de afweging tussen zelf bouwen of het benutten van cloud?

    Meer lezen

    Computable.nl
    OpinieSecurity & Awareness

    5 stappen ter voorbereiding op de verkorte levensduur van TLS-certificaten

    ActueelCarrière

    Kort: Brunel viert 50ste verjaardag, Wortell wint gunning veiligheidsregio (en meer)

    ActueelSecurity & Awareness

    Vaarwel C++ en C: VS zetten in op memory safe-programmeertalen

    ActueelSecurity & Awareness

    Cybersec Netherlands trekt op met Data Expo

    Cloudsecurity
    ActueelSecurity & Awareness

    De zware uitdaging van cloudbeveiliging

    ActueelSecurity & Awareness

    Kort: PQR lijft E-Storage in, Fox-IT en Xerox it-partners van de Navo-top (en meer)

    8 reacties op “De CEO is ook de CSO, dus weg ermee”

    1. Ewoud D. schreef:
      12 maart 2013 om 10:01

      Walter,

      Als ik het samenvat komt het dan neer op: “Too many chiefs and not enough indians”?

      Login om te reageren
    2. KJ schreef:
      12 maart 2013 om 10:52

      Wellicht dat verplichte meldplicht bij datalekken een verschuiving teweegbrengt van compliance naar echte security.

      Login om te reageren
    3. Henri Koppen schreef:
      12 maart 2013 om 11:35

      Ik snap de strekking, maar er wordt wel makkelijk overheen gegaan dat een CEO niet de kennis, nog de tijd, nog de focus heeft die een CSO wel zou moeten hebben.

      Als het bedrijf getroffen wordt, raakt dat eindelijk de CEO ook.

      Wie niet kan delegeren zal ook niet goed in groeien zijn.

      Verplicht melden klinkt goed, maar als we daar ook weer clubjes voor op gaan richten missen we wellicht het doel. Het is gewoon evolutie en co-evolutie.

      Er komen betere hackers die zorgen voor betere beveiliging. De volgorde waarin dit gebeurt is al eeuwen duidelijk, haha. De kunst van jou als bedrijf is om ervoor te zorgen dat jij niet het voorbeeld bent waarom de regels worden veranderd.

      Login om te reageren
    4. Rick van den Hoogenhof schreef:
      12 maart 2013 om 11:44

      Geef het beestje een naam, het zal me eerlijk gezegd een zorg zijn of de CEO, CSO of Chief Epibreren Officer verantwoordelijk is.

      Met je laatste zin ben ik het dus niet eens. Wat je schrijft over het belang van proactiviteit, eigen verantwoordelijkheid en het toejuichen van meldingen is veel belangrijker.

      Natuurlijk is informatiebeveiliging een zaak die offline en online speelt. En er speelt meer dan ICT om dit onder controle te krijgen. Medewerkers die zich bewust zijn van hun handelen en zelf met verbeterpunten komen zijn waardevol. Dat is iets voor je CEO of CSO op moet wijzen, eigenlijk is het een stukje cultuur dat in je organisatie moet zitten. Uiteraard is het belangrijk dat je middels audits controleert of beleid ook daadwerkelijk zorgt voor verbeteringen.

      Login om te reageren
    5. wholst schreef:
      12 maart 2013 om 12:35

      @Ewout Ja, kort door de bocht komt het daar deels wel op neer. Let wel: ik noem ook maatregelen die wel effect zullen hebben op het veiligheidsbewustzijn van organisaties.

      Login om te reageren
    6. Peter Ernest schreef:
      12 maart 2013 om 13:22

      Het is maar net hoe de CSO zijn functie invult: als hij/zij zich richt op bewustwording en zorgt voor concrete kaders en richtlijnen dan is de CSO erg waardevol voor de organisatie. Achteroverleunen op dit soort ‘niet sexy’ thema’s doet een organisatie toch wel, iemand met kennis van zaken die de boel scherp houdt is dan geen overbodige luxe.

      Login om te reageren
    7. Gerard Stroeve schreef:
      12 maart 2013 om 13:30

      Je lijkt te impliceren dat het aanstellen van een CSO iets van de laatste tijd is. Deze functionaris is echter in de afgelopen tien jaar door vele organisaties aangesteld. Ook lijk je er van uit te gaan dat een CSO doorgaans door bedrijven gerelateerd wordt aan de ICT-functie. Ook dat is maar zeer de vraag.

      De CSO heeft, net als bijv. de kwaliteitsmanager, de taak om het ISMS, het IB-beheersproces draaiend te houden en de eenduidigheid van de implementatie/exploitatie te borgen. Dat staat los van de verantwoordelijkheid voor security. De kwaliteit is immers ook de zorg van iedere medewerker (en niet uitsluitend van de kwaliteitsmanager)?

      Login om te reageren
    8. Rednas schreef:
      8 april 2013 om 20:22

      Eens met je stelling, echter sla je een aantal stappen over in het volwassen worden van de organisatie op het gebied van security. Veel organisaties hebben nog een CSO nodig om het proces in te richten en security goed te borgen. Hier onstaat echter wel het probleem, om het hoogste volwassenheidsniveau te halen, de CSO zichzelf moet uitfaseren en daar wringt de schoen.

      Login om te reageren

    Geef een reactie Reactie annuleren

    Je moet ingelogd zijn op om een reactie te plaatsen.

    Populaire berichten

    Meer artikelen

    Uitgelicht

    Partnerartikel
    AdvertorialInnovatie & Transformatie

    Computable Insights

    Een ai-agent die klantvragen afhandelt. Dat is een van de nieuwste troeven van softwareproducent Salesforce, dat daarmee meesurft op de...

    Meer persberichten

    Footer

    Direct naar

    • Carrièretests
    • Kennisbank
    • Planning
    • Computable Awards
    • Magazine
    • Abonneren Magazine
    • Cybersec e-Magazine

    Producten

    • Adverteren en meer…
    • Jouw Producten en Bedrijfsprofiel
    • Whitepapers & Leads
    • Vacatures & Employer Branding
    • Persberichten

    Contact

    • Colofon
    • Computable en de AVG
    • Service & contact
    • Inschrijven nieuwsbrief
    • Inlog

    Social

    • Facebook
    • X
    • LinkedIn
    • YouTube
    • Instagram
    © 2025 Jaarbeurs
    • Disclaimer
    • Gebruikersvoorwaarden
    • Privacy statement
    Computable.nl is een product van Jaarbeurs