CISO overheidsorganisatie krijgt werkstraf voor aanpassen auditrapporten
Een 66-jarige man uit Den Haag die werkzaam was als chief information security officer (CISO) bij een overheidsorganisatie heeft wegens het aanpassen van auditrapporten een werkstraf van honderdtwintig uur opgelegd gekregen. Volgens het Openbaar Ministerie (OM), dat de strafbeschikking oplegde, heeft de verdachte gedurende vier jaar meerdere auditrapporten aangepast.
"Tijdens een zogenaamde audit verzamelt een organisatie informatie en feiten om te beoordelen of processen en systemen voldoen aan vastgestelde criteria of normen. De verdachte heeft de rapporten handmatig aangepast. Onderdelen van de audits die niet voldoende waren, bleken na zijn aanpassingen plots wel te voldoen aan de normen", aldus het OM. Toen de aanpassingen aan het licht kwamen is de CISO op non-actief gesteld en later ontslagen.
De zaak is onderzocht door de Rijksrecherche. Volgens het OM blijkt uit nader technisch onderzoek dat de cyberveiligheid van de overheid niet in gevaar is geweest. "Sinds het invoeren van digitale ondertekeningen van auditrapporten is het laten aanpassen daarvan niet meer mogelijk. Ook werden enkele interne procedures omtrent de rapportages aangescherpt", zo laat het OM verder weten.
Er ligt een hele goede richtlijn van de IBD voor een CISO profiel maar het niveau, op een enkele uitzondering na, is wel droevig. Cybersecurity is dan wel geen directe verantwoordelijkheid van een CISO maar laten we wel wezen, een beetje CISO zou echt wel veel invloed op de verantwoordelijken moeten hebben om de weerbaarheid van een organisatie tegen cyber dreigingen te verhogen. Echter komen de meesten niet verder dan wat roepen vanaf de zijlijn zonder zichzelf daarin te conformeren waardoor ze niet serieus genomen worden. Of ze houden zich alleen maar bezig als een veredelde administratief medewerker die zich met het invullen van ENSIA bezig houdt.
Velen lijken alleen geinteresseerd in de titel maar doen te weinig om de titel eer aan te doen. Kortom de meesten zijn alleen op papier CISO maar niet in hun daden. C management vereist stevige persoonlijkheden die en weten waar ze het over hebben maar ook kunnen enthousiasmeren en niet bang zijn om met de poten in de klei te gaan staan om van niets iets te maken waarbij ze ook nog eens allerlei weerstanden moeten overwinnen op alle niveaus binnen organisaties.
tegen z'n pensioen aan, kon het niet meer schelen, en waarschijnlijk naar boven geschoven als kado'tje of iemand niemand anders op die stoel wilde . (Peter Principle ?)
In elk geval kan/mag/moet hij nergens anders meer aan de bak.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
