Wanneer informatiebeveiliging expliciet op organisatieniveau benoemd wordt als aandachtsgebied, ontstaat er een nieuwe rol in de organisatie: die van de (Chief Information) Security Officer (ook wel SO of CISO). De rol van de SO is cruciaal om informatiebeveiligingsbeleid in een organisatie te implementeren, te verankeren en breed gedragen te krijgen. En daarmee ook om een informatiebeveiligingsmanagementsysteem (ISMS) en certificering (ISO 27001 of aanverwant) ‘in de lucht te houden’ en daadwerkelijk meerwaarde te laten hebben voor de organisatie. Niet iets om al te lichtzinnig mee om te gaan dus. Toch gebeurt het in de praktijk vaak dat de rol van SO ‘als vanzelfsprekend’ bij een IT-verantwoordelijke of bij een KAM-functionaris wordt neergelegd. Hoe logisch is dat? Welke kwalificaties en competenties vraagt de rol van SO? Zoek je die in één persoon binnen de organisatie, of is dat zoeken naar het schaap met de vijf poten?