Tweehonderdste CISO bij Segment in het zonnetje
21 december 2022
Op dinsdag 6 december werd in Leusden voor tweede keer dit jaar de diploma-uitreiking voor de opleiding tot CISO gehouden. De afgelopen jaren heeft Segment honderden CISO’s opgeleid, waaronder CISO’s werkzaam bij gemeenten, maar ook mensen uit diverse andere vakgebieden.

Uit handen van Nico van Dijk, directeur van Segment, ontvingen de geslaagden hun diploma. Arno van Burken, programmadirecteur bij Segment en hoofd Proces, Data en Innovatie bij de gemeente Rotterdam deed daarnaast een woordje over actualiteiten binnen de informatiebeveiliging. Onder het genot van een hapje en een drankje konden de aanwezigen na afloop van het officiële gedeelte nog even napraten over de opleiding en hun toekomstige plannen.

 

Tweehonderste CISO Bij Segment

De dag was extra feestelijk, omdat de tweehonderdste CISO opgeleid door Segment werd gehuldigd. Jenny Buitelaar, CISO en Privacy Officer bij de gemeente Rhenen, werd in het zonnetje gezet met een dinerbon en bloemen. Na afloop van de ceremonie vroegen wij Jenny naar haar plannen nu zij het CISO diploma heeft behaald en naar de huidige stand van zaken op informatiebeveiligingsgebied.

 

Jenny, allereerst van harte gefeliciteerd! Waarom wilde je deze opleiding volgen?

‘Ik was op zoek naar een allround CISO opleiding, met aandacht voor aspecten die in een gemeente spelen. Een andere eis was dat deze opleiding ook naast mijn werk te volgen was. Met een dag in de week is dat goed te doen. De afwisseling tussen de diverse onderwerpen maakte het interessant: van gedrag tot wettelijke kaders en van financiën tot techniek.

Verder vond ik het prettig dat de docenten goed wisten hoe één en ander in de praktijk werkt en dat stuk herkenning was heel plezierig.

Het laatste pluspunt was dat de cursuslocatie in Utrecht ook goed te bereiken is met het OV.’

 

Cybersecurity is een hot topic. Hoe hoog schat jij de kans in dat een gemeente slachtoffer wordt van een cyberaanval?

‘Ik denk dat je deze vraag breder moet stellen: hoe groot is de kans dat een organisatie in Nederland slachtoffer wordt van een cyberaanval? Die kans acht ik vrij groot. Wanneer je bijvoorbeeld naar de ENISA Threat landscape van november 2022 kijkt, dan zie je de aanvallen niet alleen tegen overheden gericht zijn, maar ook bijvoorbeeld tegen banken, ICT bedrijven, banken, zelfs tandartsen bleken niet veilig. De digitale wereld wordt met de dag complexer. We hebben ook te maken met verschillende soorten aanvallen en aanvallers. Het is een lucratief verdienmodel geworden. Het maakt niet uit of je groot of klein bent, de vraag is meer of er zich een gelegenheid voordoet waardoor men binnen kan komen. In andere gevallen is er sprake van een oorlog die digitaal wordt gevoerd, bijvoorbeeld de DDos aanval op het Europees parlement onlangs.’

 

Hoe kijk jij naar gemeenten die de functie CISO en FG hebben gecombineerd?

‘Het lijkt me niet verstandig om deze twee functies te combineren. Idealiter is de FG gepositioneerd in de Third Line of Defence en heeft de FG een toezichthoudende rol. De CISO behoort tot de Second Line of defence en houdt zich bezig met zaken als beleid, controle en communicatie. De combinatie van deze twee functies zou de onafhankelijkheid van de FG bedreigen.’

 

Wat vind jij van de BIO die verplicht is bij de overheid t.o.v. de ISO27001 bij andere bedrijven?

‘De Bio is gebaseerd op de ISO27002 en geeft met de overheidsverplichtende maatregelen duidelijkheid. Bij de ISO27001 ben je afhankelijker van de risicoanalyse en dat geeft ook ruimte voor interpretatie en discussie. Het feit dat er overheidsverplichtende maatregelen zijn vind ik wel fijn want dat biedt in ieder geval al een basis.’

 

Tot slot, wat zijn je plannen nu je het diploma op zak hebt?

‘Nou, ik ben eerst maar eens begonnen in het boek 'Influence' dat aan bod kwam tijdens de tweede cursusdag.

Verder is dit een vakgebied waarin van alles gebeurt en daarom is het zaak bij te blijven. Maar het beste plan is om in de praktijk toepassen wat ik nu heb geleerd.’