Dan ben je dubbel niet geschikt voor die functie. Een, omdat je rapporten vervalst. Twee, cybersecurity is geen verantwoordelijkheid van de CISO. Vervalsen doe je alleen maar omdat je denkt dat dat wel zo is. Ongeschikt dus.

Tja, als je naar het niveau van de gemiddelde CISO in overheidsland kijkt dan is het niet zo gek dat het qua security slecht gesteld is. Veel zijn alleen auditor geweest en hebben geen benul hoe een CISO naar security behoort te kijken terwijl een andere groep ergens uit project of informatie management komt en denkt dat ze verstand van zaken hebben.
Er ligt een hele goede richtlijn van de IBD voor een CISO profiel maar het niveau, op een enkele uitzondering na, is wel droevig. Cybersecurity is dan wel geen directe verantwoordelijkheid van een CISO maar laten we wel wezen, een beetje CISO zou echt wel veel invloed op de verantwoordelijken moeten hebben om de weerbaarheid van een organisatie tegen cyber dreigingen te verhogen. Echter komen de meesten niet verder dan wat roepen vanaf de zijlijn zonder zichzelf daarin te conformeren waardoor ze niet serieus genomen worden. Of ze houden zich alleen maar bezig als een veredelde administratief medewerker die zich met het invullen van ENSIA bezig houdt.
Velen lijken alleen geinteresseerd in de titel maar doen te weinig om de titel eer aan te doen. Kortom de meesten zijn alleen op papier CISO maar niet in hun daden. C management vereist stevige persoonlijkheden die en weten waar ze het over hebben maar ook kunnen enthousiasmeren en niet bang zijn om met de poten in de klei te gaan staan om van niets iets te maken waarbij ze ook nog eens allerlei weerstanden moeten overwinnen op alle niveaus binnen organisaties.

tegen z'n pensioen aan, kon het niet meer schelen, en waarschijnlijk naar boven geschoven als kado'tje of iemand niemand anders op die stoel wilde . (Peter Principle ?)

In elk geval kan/mag/moet hij nergens anders meer aan de bak.

Of dat doe je omdat het kan, of omdat je gevraagd word dat te doen. Heeft OM hier wel goed doorgepakt. Rijksrecherche is ermee bezig geweest, maar wanneer kwamen de eerste signalen binnen en was meneer al niet veel langer hiermee bezig.

De IBD? Die schrijven vooral mooie stukjes vanuit een volstrekt onzinnig (theoretisch) beeld van de werkelijkheid. Vooral goed om te begrijpen dat er geen 'standaard' is en je dus veelal moet starten met maatwerk. Ook dit voorbeeld met al die profielen: de meeste organisaties zijn blij als ze überhaupt iemand kunnen vinden die iets van security weet en die niet een volslagen contactgestoorde nerd is .Of - erger - net afgestudeerde HBO'ers met iets van 'cyber' in de naam van hun opleiding die direct CISO worden bij een organisatie met volwassenheidsniveau 1. Juist door het zo 'groot' te maken, krijg je allerlei mensen die ver boven hun niveau of volstrekt buiten hun comfort zone moeten werken. Uitstel van ellende.

..en ook hoop toetsenbord helden die maar wat roeptoeteren over 'de gemiddelde ciso bij de overheid '. Maar eigenlijk zelf geen idee hebben. Ik kan je zeggen dat het niveau van de gemiddelde CISO hoog is en men heel goed beseft welke verantwoordelijkheden waar liggen. Besef bij het MT is er ook, maar daar liggen ook de verantwoordelijkheden. Lijstjes invullen, compliance aan de BIO. Ook leuk en misschien noodzakelijk, maar er wordt actief risicomanagement toegepast. En het feit dat er maar één overheid ligt een altijd onder het vergrootglas, maakt het transparant maar ook ontvankelijkheid voor de gemiddelde toetsenbordheld..

De overheid heeft zijn beveiligingsbeleid vastgelegd in de BIO.

Als dit CISO werk vereist dan gaat 't eigenlijk over basisbeveiligingniveau BBN3.

Moet hij toch nog 120 uur echt werken.

Zeker zelf een niet functionerende CISO? Schaaltje 12 of 13 voor een beetje niets doen? Ik spreek er regelmatig een aantal maar er komt nooit iets nuttigs uit hun hoofd of vingers behalve een volstrekt gebrek aan verantwoordelijkheid maar wel een hele hoop open deur geneuzel die je standaard op iedere beveiligingswebsite terug vind. Ik moet de eerste nog tegenkomen met en een goed verhaal met een goede strategische aanpak in hun beveiligings plannen. Als je niet met een MT kan omgaan ben je sowieso niet geschikt als CISO.

een goede strategische aanpak in hun beveiligingsplannen... klinkt mooi maar zoals de vorige persoon ook al schreef een heleboel herrie van toetsenbordhelden, maar wat voor goede aanpak moet dat dan zijn? Moet alles uniek of kan je gewoon de standaard methoden van beveiligingswebsites hergebruiken? Het wiel hoeft niet opnieuw uitgevonden te worden, dus wat is nu eigenlijk precies het probleem?

Geef anders het goede voorbeelden en geef zelf dan eens aan wat jij vindt dat een goed plan is danwel moet zijn?