Er is al veel geschreven over de CISO. Ook door mij, maar deze opinie gaat niet (echt) over de positie in de organisatie, niet over het mandaat en ook niet over het salaris. Het gaat over wat de organisatie (veelal impliciet) denkt dat de CISO doet, of wel zal doen. Omdat informatiebeveiliging zo'n breed vakgebied is – en dus de bijbehorende normenkaders ook – ontkom je er niet aan je enigszins te bemoeien met andermans zaken. Maar je bent er niet van, of toch? Toch tien cadeautjes voor jou!

Maar de CISO gaat nergens over

Niet echt tenminste (behalve het ISMS)

Of de CISO ergens echt over gaat, zal verschillen per persoon aan wie je deze vraag voorlegt. Per organisatie zijn er grote verschillen in het verantwoordelijkheidsgebied van de CISO. Sommigen denken dat 'ie de knoppen bedient, de processen runt en de besluiten neemt. En als er dan iets misgaat, kijkt eenieder in dezelfde richting. Klopt dat wel?