image

Overheid krijgt eerste Chief Information Security Officer Rijk

vrijdag 18 september 2020, 17:26 door Redactie, 24 reacties

Vanaf 1 november heeft de overheid voor het eerst over een Chief Information Security Officer (CISO) Rijk, die verantwoordelijk wordt voor het structureel verbeteren van de informatiebeveiliging binnen de Rijksoverheid. De rol wordt vervuld door Aart Jochem, die nu nog CISO bij pensioenfonds PGGM is.

Jochem was van 2007 tot 2016 actief voor GOVCERT en diens opvolger het Nationaal Cyber Security Centrum (NCSC). Minister Ollongren van Binnenlandse Zaken liet vorig jaar weten dat de ict-beveiliging van de Rijksoverheid in 2020 veel beter moest dan dat jaar. Aanleiding voor de maatregel was een onderzoek van de Algemene Rekenkamer waaruit bleek dat de Rijksoverheid de ict-beveiliging nog steeds niet op orde had.

Om de beveiliging te verbeteren werd besloten een CISO Rijk aan te stellen. "De CISO Rijk wordt het boegbeeld op het domein van informatiebeveiliging en privacybeleid voor de Rijksoverheid", zo meldt het ministerie van Binnenlandse Zaken nu. De CISO zal de informatiebeveiliging binnen het Rijksbrede ict-beleid gaan borgen, onder meer met kaderstelling en monitoring. Het gaat dan onder andere om het doorontwikkelen van de baseline informatiebeveiliging overheid (BIO).

De CISO Rijk zal ook de rijksbrede monitoring versterken. Daarnaast wordt Jochem voorzitter van het interdepartementale CISO-overleg binnen de Rijksoverheid en zal bij de uitvoering van zijn taken nauw samenwerken met onder andere de veiligheidsdiensten, het NCSC en de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV).

Reacties (24)
18-09-2020, 18:33 door Anoniem
Op de website van de Rijksoverheid lees ik:

Aart Jochem studeerde Elektrotechniek (Computerarchitectuur en Digitale Technieken) aan de Technische Universiteit Delft.

Toen ik in de security wilde werken, was het verplicht om een security diploma te halen en dat betekende dat je theoretisch examen moest doen en praktijk volgen. Alleen als je voor beide geslaagd was, kreeg je het einddiploma uitgereikt. Daarna, om te werken werd je gescreend op het hebben van een strafblad. Had men die, dan kon men niet werken: hoeveel diploma's je ook in de security kon overleggen.

Bij meneer Aart Jochen zie ik zijn bio op de website van de overheid niets over enige security opleiding, certificering, ervaring en diplomering. Maar eigelijk verbaast mij dit niet. Dit soort dingen kom je namelijk altijd bij de overheid tegen. De gewone burger moet verplicht aan alle soorten kwalificaties voldoen, maar voor overheidspersoneel wordt de absolutie uitgesproken.
18-09-2020, 19:20 door Anoniem
Wanneer krijgt de nationale overheid in vredesnaam dan haar eerste chef gezond verstand / chef houd het normaal?
De zet die Ollongren nu neemt heeft meer weg van haar ziekelijke verlangen tot meer big brother te lanceren.
Tevens de reden dat ze parmantig met Frederica Mongharini en Ursula van der Leyen (toen een onhoudbare minister bij de Duitse regering) een bekend en infaam internationaal congres aantrad.
Op de agenda stond ondermeer het "de russia collusie" hoax - gefaket middels het kopiëren van thumb-drives - en hoe regeringleiders en gelijken hun voordeel konden doen. Zij het, dat er werd aangekondigd dat regeringen dan toch vooral strenger uiteenlopende discussies zou gaan censureren via onder andere social media.
Omdat de tal van verschijningsvormen van social media - getuige hun eigen scenario presentaties op dat internationale congres - bepaald soort kritische gedachten paternalistische wensen en angsten oproept.
Zichtbaar opgetogen en opgelucht verliet Ollongren destijds dat congres aan de zij van Ursula van der Leyen, die toen duidelijk van het Duitse defensie weggepromoveerd zou worden.
Oftewel, we hebben er meer aan dat operatie IT-doctrines bij de overheid en verkopers bij telecom sector eerst worden doorgelicht en opgefrist dan nog meer polit-bureau achtige commissarissen aan te stellen.
Ook het proberen white-washen van komende verkiezing-processen heeft niemand iets aan.
18-09-2020, 20:25 door Anoniem
Door Anoniem: Op de website van de Rijksoverheid lees ik:

Aart Jochem studeerde Elektrotechniek (Computerarchitectuur en Digitale Technieken) aan de Technische Universiteit Delft.

Toen ik in de security wilde werken, was het verplicht om een security diploma te halen en dat betekende dat je theoretisch examen moest doen en praktijk volgen. Alleen als je voor beide geslaagd was, kreeg je het einddiploma uitgereikt. Daarna, om te werken werd je gescreend op het hebben van een strafblad. Had men die, dan kon men niet werken: hoeveel diploma's je ook in de security kon overleggen.

Bij meneer Aart Jochen zie ik zijn bio op de website van de overheid niets over enige security opleiding, certificering, ervaring en diplomering. Maar eigelijk verbaast mij dit niet. Dit soort dingen kom je namelijk altijd bij de overheid tegen. De gewone burger moet verplicht aan alle soorten kwalificaties voldoen, maar voor overheidspersoneel wordt de absolutie uitgesproken.

Bedoel je nu te zeggen dat als een bedrijf iets vraagt aan je, dat je verwacht van de overheid dat ze datzelfde vragen? Ook al is dat wellicht onzinnig (je ondertoon geeft dat al aan)?
Want de overheid heeft totaal geen invloed op wat het bedrijfsleven vraagt.
19-09-2020, 00:39 door Anoniem
Waarom zit er niet op een dergelijke positie niet iemand met een PhD?
19-09-2020, 09:05 door Anoniem
Door Anoniem: Bij meneer Aart Jochen zie ik zijn bio op de website van de overheid niets over enige security opleiding, certificering, ervaring en diplomering. Maar eigelijk verbaast mij dit niet. Dit soort dingen kom je namelijk altijd bij de overheid tegen. De gewone burger moet verplicht aan alle soorten kwalificaties voldoen, maar voor overheidspersoneel wordt de absolutie uitgesproken.
Aan de foto te zien is hij niet meer piepjong. Misschien begon hij dit soort werk al te doen voordat de opleidingen waar jij aan refereert er waren, en heeft hij zijn sporen ruimschoots in de praktijk verdiend.

Besef je trouwens dat het onvermijdelijk is dat nieuwe opleidingen worden opgezet door mensen die ze onmogelijk zelf kunnen hebben gevolgd, omdat opleidingen pas bestaan nadat ze door iemand zijn opgezet? Dan zou je ook moeten beseffen dat opleidingen niet de enige bron van kennis zijn, maar dat ze een georganiseerde manier vormen om kennis en ervaring die op een andere manier is opgedaan door te geven aan anderen.

Voor zover ik me herinner had ik nooit eerder van Aart Jochem gehoord, maar het zou natuurlijk kunnen dat hij een van die mensen is van het kaliber waar anderen wat van kunnen leren. Zijn eerdere functies lijken daar wel op te wijzen.
19-09-2020, 13:27 door Anoniem
Door Anoniem: Waarom zit er niet op een dergelijke positie niet iemand met een PhD?

Een CISO met een PhD? Ik ken ze nie....
19-09-2020, 13:37 door Anoniem
Door Anoniem:
Door Anoniem: Waarom zit er niet op een dergelijke positie niet iemand met een PhD?

Een CISO met een PhD? Ik ken ze nie....

iemand met een PhD doet vaak niet aan BS en bluf etc.
19-09-2020, 13:40 door Anoniem
Door Anoniem:
Door Anoniem: Bij meneer Aart Jochen zie ik zijn bio op de website van de overheid niets over enige security opleiding, certificering, ervaring en diplomering. Maar eigelijk verbaast mij dit niet. Dit soort dingen kom je namelijk altijd bij de overheid tegen. De gewone burger moet verplicht aan alle soorten kwalificaties voldoen, maar voor overheidspersoneel wordt de absolutie uitgesproken.
Aan de foto te zien is hij niet meer piepjong. Misschien begon hij dit soort werk al te doen voordat de opleidingen waar jij aan refereert er waren, en heeft hij zijn sporen ruimschoots in de praktijk verdiend.

Besef je trouwens dat het onvermijdelijk is dat nieuwe opleidingen worden opgezet door mensen die ze onmogelijk zelf kunnen hebben gevolgd, omdat opleidingen pas bestaan nadat ze door iemand zijn opgezet? Dan zou je ook moeten beseffen dat opleidingen niet de enige bron van kennis zijn, maar dat ze een georganiseerde manier vormen om kennis en ervaring die op een andere manier is opgedaan door te geven aan anderen.

Voor zover ik me herinner had ik nooit eerder van Aart Jochem gehoord, maar het zou natuurlijk kunnen dat hij een van die mensen is van het kaliber waar anderen wat van kunnen leren. Zijn eerdere functies lijken daar wel op te wijzen.

zou kunnen, maar je wilt dit soort dingen toch van te voren iets beter weten bij bepaalde beroepen toch? in de medische wereld wordt zo iemand vaan eerder als kwakzalfer weggehoond. in management en politiek niet, daar is het vaak beter een zwakkere opnonent/concurent te hebben dan jezelf en juich je onkunde eigenlijk eerder toe.
19-09-2020, 13:49 door Anoniem
Wel heel apart. Want voor CISO's die op lagere niveau's (ministerie, gemeenten) worden redelijk specifieke opleidings- en certificeringseisen gesteld. Geen hiervan zie ik terug bij deze CISO :-)
Veel belangrijker is natuurlijk: aan wie legt hij verantwoording af en wat zijn de bevoegdheden?
Als ik dit lees " ...CISO Rijk onderdeel uit maakt van de Directie CIO Rijk ..." dan zit hij diverse niveaus lager dan de minister.
Dat gaat niet helpen.
Maar misschien begrijp ik het niet goed. Pas als dat helder is, kun je inschatten hoe belangrijk BZK dit eigenlijk vindt (of dat het weer een stukje veiligheidstheater is zoals bij CISO-functies van sommige ministeries) .
19-09-2020, 15:23 door Anoniem
Het hebben van papiertjes zegt ook niet alles... Ik heb zelf in de afgelopen 30 jaar als IT'er de nodige papiertjes gehaald (en laten verlopen) en steeds weer waren er anderen die ze ook hadden (papieren tijgers uit India, anyone?) maar zonder ook maar enige ervaring. Aan de andere kant, als iemand met ervaring een keer zo'n examen gaat doen, dan is slagen ook niet het lastigste (hier S-ITSP, CISSP, ISO27005 RIsk Manager en nog een paar).

Ook ik ken onze CISO Rijk niet, maar als hij al bij GOVCERT betrokken was, dan heeft hij in elk geval ervaring in grootschalige en/of bedrijfoverstijgende security. Ik gok dat hij daar niet de junior koffiejongen was...
19-09-2020, 18:55 door Anoniem
Iedereen loopt wel te klagen dat hij nu de functie heeft, maar wie zou zoiets nou willen doen? Met al die IT projecten bij de overheid die verkeerd gaan, waarom zou je daar willen werken? Is toch geen droompositie...

Wens hem het beste toen. Want hij is wel meteen het mikpunt voor alles wat nu fout gaat daar. Dus sterkte ermee!
20-09-2020, 09:30 door Anoniem
Door Anoniem: Iedereen loopt wel te klagen dat hij nu de functie heeft, maar wie zou zoiets nou willen doen? Met al die IT projecten bij de overheid die verkeerd gaan, waarom zou je daar willen werken? Is toch geen droompositie...

Wens hem het beste toen. Want hij is wel meteen het mikpunt voor alles wat nu fout gaat daar. Dus sterkte ermee!

Precies!

Het zal een hele uitdaging voor hem worden. Ik heb veel grote ICT projecten met succes afgerond en ook voor de overheid en daar heb je een hele dikke huid voor nodig.

Bij de overheid verlopen de zaken veel trager en juist op dit aandachtsgebied zullen ze moeten doorpakken en heel snel een solide basis moeten opzetten. Deels is dit al gedaan echter er is nog veel werk.

Ik wens hem heel veel geluk wijsheid en de kracht om iets positiefs te doen voor het Nederlandse volk. En nee ik ken hem niet ik heb er geen enkel belang bij.

Hij heeft in ieder geval de ballen om die functie aan te nemen! Dat is al een pluspunt!

Succes man!
20-09-2020, 15:11 door Anoniem
Door Anoniem: Wel heel apart. Want voor CISO's die op lagere niveau's (ministerie, gemeenten) worden redelijk specifieke opleidings- en certificeringseisen gesteld. Geen hiervan zie ik terug bij deze CISO :-)
Veel belangrijker is natuurlijk: aan wie legt hij verantwoording af en wat zijn de bevoegdheden?
Als ik dit lees " ...CISO Rijk onderdeel uit maakt van de Directie CIO Rijk ..." dan zit hij diverse niveaus lager dan de minister.
Dat gaat niet helpen.
Maar misschien begrijp ik het niet goed. Pas als dat helder is, kun je inschatten hoe belangrijk BZK dit eigenlijk vindt (of dat het weer een stukje veiligheidstheater is zoals bij CISO-functies van sommige ministeries) .
Opvallend dat ze een man hebben genomen nu overheid en gemeenten zich door links een absurd diversiteit beleid laten opdringen. Ik zie bijvoorbeeld steeds meer vrouwen en allochtonen op management posities (ja ook als CISO tegenwoordig) opduiken waarvan iedereen met maar twee werkende hersencellen weet dat ze niet op hun kwaliteiten voor de functie zijn uitgekozen. En dan worden er betere kandidaten (meestal mannen) geweigerd omdat er perse een allochtoon of een vrouw op die plek moet komen. Want divers zullen we zijn, wat dat ook mogen kosten.
Uiteindelijk krijgen de organisaties er op termijn problemen mee omdat deze mensen, gekozen om wat ze zijn, toch niet zullen functioneren. Kwaliteit is laag maar kosten hoog, lang leve het slinkse diversiteitsdenken.
20-09-2020, 16:39 door Anoniem
Door Anoniem: zou kunnen, maar je wilt dit soort dingen toch van te voren iets beter weten bij bepaalde beroepen toch? in de medische wereld wordt zo iemand vaan eerder als kwakzalfer weggehoond.
Een opleiding tot basisarts duurt zes jaar. Specialisten doen daar nog een heel opleidingstraject achteraan. Bestaat er zoiets voor CISO's? Als ik naar opleidingen tot CISO zoek kom ik trainingen van vijf dagen tegen. Ik denk dat ik aan een CV als dat van Aart Jochem heel wat meer waarde zou hechten dan aan zo'n training. Als hij die nog nodig heeft is dat snel genoeg geregeld.

De functienaam CISO is in 1994 bedacht bij CitiCorp toen dat gehackt was. In 2005-2010 ontwikkelde de functieinhoud zich van technische taken naar het grote plaatje van risico's overzien, en het is bezig om zich van een IT-discipline te ontwikkelen naar iets dat de hele organisatie omvat:
https://www.itspmagazine.com/from-the-newsroom/ciso-the-evolution-of-the-species

Ik vermoed dat Aart Jochem, gezien zijn leeftijd en zijn CV, eerder een van de mensen is die de functieinhoud van CISO's helpt definiëren dan iemand die van een ander moet leren wat het inhoudt.
20-09-2020, 18:08 door Anoniem
Door Anoniem: Waarom zit er niet op een dergelijke positie niet iemand met een PhD?

Waarom heeft iemand op die positie een PhD nodig? Een PhD zegt alleen maar dat je in staat bent gedegen academisch onderzoek te doen. Heeft een CISO dat dan nodig?? In bijna 100% van de gevallen niet...
20-09-2020, 18:12 door Anoniem
[/quote]De functienaam CISO is in 1994 bedacht bij CitiCorp toen dat gehackt was. In 2005-2010 ontwikkelde de functieinhoud zich van technische taken naar het grote plaatje van risico's overzien, en het is bezig om zich van een IT-discipline te ontwikkelen naar iets dat de hele organisatie omvat:
https://www.itspmagazine.com/from-the-newsroom/ciso-the-evolution-of-the-species
[/quote]
Daar zit al de fout bij veel bedrijven. De (C)ISO is nooit een IT functie geweest of als zodanig bedoelt. De rol komt uit het informatie(management) domein. Bij veel bedrijven is dit vaak in een technische hoek gedrukt omdat management vaak niet de CISO een besluitvormende rol wilde geven en graag iemand had die met de techneuten kon praten. Dus IT-security en Information security moet u niet door elkaar halen.
21-09-2020, 08:46 door Anoniem
Door Anoniem: Waarom zit er niet op een dergelijke positie niet iemand met een PhD?
Met deze vraag geeft je aan dat je niet zo goed zicht hebt op het werk en de uitdagingen van een CISO.
21-09-2020, 09:37 door Anoniem
Wat veel specialisten die weten waar iemand aan moet voldoen :)
Ik hoop vooral dat hij het naar zijn zin heeft en ga er van uit dat hij een geschikte persoon is voor de rol.
Succes!
21-09-2020, 10:50 door Anoniem
Door Anoniem: Op de website van de Rijksoverheid lees ik:

Aart Jochem studeerde Elektrotechniek (Computerarchitectuur en Digitale Technieken) aan de Technische Universiteit Delft.

Toen ik in de security wilde werken, was het verplicht om een security diploma te halen en dat betekende dat je theoretisch examen moest doen en praktijk volgen. Alleen als je voor beide geslaagd was, kreeg je het einddiploma uitgereikt. Daarna, om te werken werd je gescreend op het hebben van een strafblad. Had men die, dan kon men niet werken: hoeveel diploma's je ook in de security kon overleggen.

Bij meneer Aart Jochen zie ik zijn bio op de website van de overheid niets over enige security opleiding, certificering, ervaring en diplomering. Maar eigelijk verbaast mij dit niet. Dit soort dingen kom je namelijk altijd bij de overheid tegen. De gewone burger moet verplicht aan alle soorten kwalificaties voldoen, maar voor overheidspersoneel wordt de absolutie uitgesproken.

Als dat het stukje is dat je opvalt aan zijn CV, dan heb je voor het gemak even over de zinnen ervoor heengelezen:

Aart Jochem is op dit moment CISO en hoofd Security & Quality Office bij pensioenfonds PGGM. Daarvoor was hij van 2012 tot 2016 DT-lid en hoofd Monitoring and Response bij het Nationaal Cyber Security Centrum (NCSC). Bij GOVCERT, de voorganger van het NCSC, vervulde hij van 2007 tot 2011 de functie van MT-lid en hoofd Kenniscentrum/Security Team. In die hoedanigheid was hij onder meer incidentmanager tijdens de DigiNotar-crisis en betrokken bij de eerste nationale cybersecuritystrategie. Eerder werkte hij als Managing Consultant en Corporate Security Officer bij Capgemini en werkte hij in verschillende functies bij Rijkswaterstaat. Aart Jochem studeerde Elektrotechniek (Computerarchitectuur en Digitale Technieken) aan de Technische Universiteit Delft.

Wat ik zie is de CV van iemand die al lange tijd meeloopt in de security wereld, veel ervaring heeft met compliance en incident management op een hoog niveau en die weet hoe er in de politiek dingen geregeld worden.

Je had toch niet een pen-tester op deze positie gewild?
21-09-2020, 11:08 door Anoniem
Door Anoniem: Op de website van de Rijksoverheid lees ik:

Aart Jochem studeerde Elektrotechniek (Computerarchitectuur en Digitale Technieken) aan de Technische Universiteit Delft.

Toen ik in de security wilde werken, was het verplicht om een security diploma te halen en dat betekende dat je theoretisch examen moest doen en praktijk volgen. Alleen als je voor beide geslaagd was, kreeg je het einddiploma uitgereikt. Daarna, om te werken werd je gescreend op het hebben van een strafblad. Had men die, dan kon men niet werken: hoeveel diploma's je ook in de security kon overleggen.

Bij meneer Aart Jochen zie ik zijn bio op de website van de overheid niets over enige security opleiding, certificering, ervaring en diplomering. Maar eigelijk verbaast mij dit niet. Dit soort dingen kom je namelijk altijd bij de overheid tegen. De gewone burger moet verplicht aan alle soorten kwalificaties voldoen, maar voor overheidspersoneel wordt de absolutie uitgesproken.

Op zijn bio op de site van de overheid niet nee... Maar als je wat verder had gekeken naar LinkedIn dan had je CISSP, CISM & CCSP voor bij zien komen. En dat zijn toch wel kwalificaties die in het InfoSec-domein thuis horen.
21-09-2020, 11:58 door Anoniem
Door Anoniem:
Bij meneer Aart Jochen zie ik zijn bio op de website van de overheid niets over enige security opleiding, certificering, ervaring en diplomering. Maar eigelijk verbaast mij dit niet. Dit soort dingen kom je namelijk altijd bij de overheid tegen. De gewone burger moet verplicht aan alle soorten kwalificaties voldoen, maar voor overheidspersoneel wordt de absolutie uitgesproken.
Artikel toevallig ook gelezen, en daarmee bedoel ik niet alleen de kop?

De rol wordt vervuld door Aart Jochem, die nu nog CISO bij pensioenfonds PGGM is.
Jochem was van 2007 tot 2016 actief voor GOVCERT en diens opvolger het Nationaal Cyber Security Centrum (NCSC).
21-09-2020, 12:16 door Anoniem
Zo te zien heeft hij
Op TU Delft gezeten, CCSP, CISM, CISSP en verder heeft hij heel veel ervaring in deze wereld al als CISO het opstarten van de NCSC en Platvorm voor informatiebeveiliging.

Dus is absoluut niet zo dat hier een rookie op gezet wordt.

goede zaakt dat er nu een CISO rijk is

ik wens hem veel succes
21-09-2020, 18:38 door Anoniem
Door Anoniem:
Door Anoniem: Waarom zit er niet op een dergelijke positie niet iemand met een PhD?

Waarom heeft iemand op die positie een PhD nodig? Een PhD zegt alleen maar dat je in staat bent gedegen academisch onderzoek te doen. Heeft een CISO dat dan nodig?? In bijna 100% van de gevallen niet...

nee hoor het geeft ook aan dat je een doorzetter bent, een hogere intellegentie hebt, een groot project met veel onzekerheden hebt leren plannen en je de diepte in kan enzo meer. althans een beta-PhD.
22-09-2020, 09:35 door _R0N_
Door Anoniem: Op de website van de Rijksoverheid lees ik:

Aart Jochem studeerde Elektrotechniek (Computerarchitectuur en Digitale Technieken) aan de Technische Universiteit Delft.

Toen ik in de security wilde werken, was het verplicht om een security diploma te halen en dat betekende dat je theoretisch examen moest doen en praktijk volgen. Alleen als je voor beide geslaagd was, kreeg je het einddiploma uitgereikt. Daarna, om te werken werd je gescreend op het hebben van een strafblad. Had men die, dan kon men niet werken: hoeveel diploma's je ook in de security kon overleggen.

Misschien had jouw werkgever weinig vertrouwen in jouw kennis en kunnen, veel bedrijven vinden ervaring belangrijker. Een diploma zegt niets over de inzetbaarheid van een persoon, ik ken zat mensen die stapels diploma's en certificaten aan de muur hebben hangen maar in de praktijk geen cent waard zijn. Ik heb liever iemand die zich heeft en kan bewijzen in de praktijk.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.