Als je een poosje mee loopt in het vak wordt het vak van information security officer (ISO) steeds diverser. Je ziet trends & ontwikkelingen, hoe klein deze ook zijn. Zo ging een gesprek over de personele invulling van informatiebeveiliging al gauw over het hebben van een ISO. Als de ISO eenmaal aangenomen is, in de perceptie van het management, dan is onze informatiebeveiliging op orde en geen issue meer.

Dat regelt de ISO toch?

Als je doorvraagt, gaat deze persoon een lijst van door een IT auditor of een toezichthouder gevonden manco's oplossen. Het liefst tegen minimale kosten en vooral niemand teveel lastig vallen. De term “maar dat regelt een ISO toch” viel regelmatig. Dat kan…maar dan zoekt u een ZieZo. Iemand die uw problemen fixed zonder al teveel borging, visie en bezieling.  En met het opleveren van de lijstje zegt de ZieZo …”ziezo mijn werk is af” en gaat zitten of op naar de volgende klus.

Ruis

Dit zie je toch wel erg vaak. Nu steeds meer mensen zich CISO noemen zie je in de praktijk dat het ZieZo’s zijn. Nu geef ik toe dat de naam CISO, net als architect, goed in de markt ligt. De CISO naam is ook verwarrend…ben jij corporate-ISO of Chief-ISO of service manager informatiebeveiliging? In elk geval is er veel ruis in CISO land.

Register

Is het niet de tijd om een register van CISO's en ISO's op te zetten en zo het koren van het kaf te scheiden.

Daarom mijn oproep aan mijn collega IBers om de volgende twee vragen, via het commentaar veld van deze blog,  te beantwoorden….

(1) Vind jij het ook zinvol om de CISO's en de ZieZo's van elkaar te onderscheiden via een register? (Ja/Nee)

(2a) Zo ja, kan jij drie kwalificaties geven waar een echte CISO en ISO aan moet voldoen?

(2b) Zo nee waarom niet?