Vorige keer hebben jullie het eerste deel van deze serie kunnen lezen. Toen gingen wij nader in op de resultaten van een poll die wij hadden gedeeld op LinkedIn en Twitter. De resultaten hiervan zijn terug te vinden in deel 1 van deze serie.
In deel 1 van deze serie hebben we via het RASCI-model kunnen concluderen dat we op zoek zijn naar de ‘Accountable’ rol. Na analyse van de ISO27001/NEN7510 kwamen we tot de conclusie dat directie verantwoordelijk zou zijn. Het antwoord lijkt erg simpel, maar de praktijk wijst helaas uit dat er een hoop uitdagingen zijn. Deze uitdagingen worden in deze blog nader uiteengezet.
Uitdagingen
Een aantal uitdagingen met betrekking tot verantwoordelijkheden die ik vaak terugzie bij organisaties zijn:- Directie heeft een CISO aangesteld, die geen onderdeel is van directie. De CISO mist daarnaast een passend directiemandaat om het ISMS goed te sturen en de informatiebeveiligingsdoelstellingen te halen. Bovendien mist de communicatie binnen de organisatie over deze belangrijke rol. Met als gevolg dat de CISO geen draagkracht heeft van andere afdelingen en de medewerkers, waardoor de implementatie van het ISMS niet van de grond komt.
- Informatiebeveiliging is direct onder IT gepositioneerd. Dit betekent dat de CISO of de Security Officer, en in sommige gevallen de Privacy Officer, rapporteert aan de IT-manager. De IT-manager rapporteert vervolgens aan een directielid over informatiebeveiliging. Bij de uitvoering van werkzaamheden in de rol van Security Officer zal je in deze verhoudingen allerlei obstakels tegenkomen. Informatiebeveiliging betreft namelijk meer dan de technische invulling van beveiligingsmaatregelen. Denk aan verplichte awareness trainingen voor nieuwe medewerkers, exitgesprekken, controles op IT, de beveiliging van het pand, etc. Daarnaast kan het voorkomen dat de IT-manager en jij belangen hebben die tegenstrijdig zijn, zo kan de IT-manager, bijvoorbeeld, een bepaalde applicatie van een leverancier willen terwijl jij de leverancier niet veilig genoeg acht.
De reden dat informatiebeveiliging toch vaak onder IT komt te vallen heeft te maken met het feit dat informatiebeveiliging te veel als een IT-gelegenheid wordt gezien, en het initiatief om informatiebeveiliging serieus op te pakken vaak van de IT-afdeling komt.
Deze bottom-up benadering van informatiebeveiliging is misschien een goed begin, maar zal nooit kunnen leiden tot een gedegen en complete aanpak van informatiebeveiliging. Je zou zelfs kunnen beargumenteren dat IT aan de CISO of de Security Officer zou moeten rapporteren, omdat zij ‘responsible’ zijn voor informatiebeveiliging. - Informatie-eigenaren worden niet of onvoldoende betrokken bij de beveiliging van hun informatie of informatiewerkende middelen. Helaas komt het ook vaak genoeg voor dat informatie-eigenaren geen idee hebben hoe hun informatie is beveiligd, en waarom.
Als we inzoomen op informatiebeveiliging stuiten we ook op andere verantwoordelijkheidsvragen: 1) welke risico’s loopt mijn informatie? 2) hoe kan ik deze risico’s het beste mitigeren? 3) wie mag toegang hebben tot mijn informatie?
In principe is een informatie-eigenaar verantwoordelijk voor zijn ‘eigen’ informatie. De CISO zou hier een adviserende en controlerende rol in moeten spelen. Het kan dus zo zijn dat een informatie-eigenaar responsible is, terwijl de CISO een meer consult/inform rol aanneemt. Omdat de mate van beveiliging uiteindelijk toch de verantwoordelijkheid is van de CISO lijkt het mij echter logischer om de CISO dan als medeverantwoordelijk te benoemen (responsible). In beide gevallen is de directie eindverantwoordelijk (accountable).
Advies
De hierboven omschreven uitdagingen zijn een kleine greep uit de praktijk die ik regelmatig tegenkom bij organisaties. Het geeft aan hoe incorrecte organisatorische verhoudingen binnen informatiebeveiliging kunnen leiden tot onwenselijke situaties. Ik pleit dan ook voor een top-down werking van informatiebeveiliging, waarbij de initiële en uiteindelijke verantwoordelijkheid ligt bij de directie. De directie kan een directeur aanwijzen als portefeuillehouder van informatiebeveiliging (en eventueel privacy). Die directeur moet ervoor zorgen dat informatiebeveiliging tijdens het directieoverleg wordt geagendeerd, en houdt de overige directieleden op de hoogte van de stand van zaken.
Mijn advies is om vervolgens een directieverklaring uit te brengen naar de organisatie om aan te geven wat de intentie is van de organisatie met betrekking tot informatiebeveiliging. Je kunt bijvoorbeeld denken aan de intentie om te certificeren, of gewoon om informatiebeveiliging serieus op te pakken. Communiceer dan direct wie waarvoor verantwoordelijk is, en vraag om medewerking van de organisatie. De aanpak van informatiebeveiliging valt of staat bij de draagkracht van de medewerkers. Als de medewerker weet dat het bericht vanuit directie komt dan wordt dit serieus genomen.
Daarnaast luidt mijn advies om een ISMS conform de ISO 27001/NEN 7510 in te richten zodat commitment en leiderschap over een langere termijn, in een verbetercyclus, kan worden gegarandeerd. Certificering is uiteraard niet verplicht.
Tot slot
Voor een effectieve aanpak van informatiebeveiliging is dus een duidelijk, gestructureerde leiderschap nodig. Over het antwoord op de vraag ‘wie is uiteindelijk verantwoordelijk voor informatiebeveiliging?’ kunnen we het volgende zeggen:
a) De directie is eindverantwoordelijkheid, zij kan de verantwoordelijk aan een directielid delegeren.
b) Een CISO is niet eindverantwoordelijkheid, tenzij het een gedelegeerde bevoegdheid betreft van de directie en de CISO zelf een directielid is. De CISO kan ook gemandateerd worden door directie, maar is dan eerder ‘responsible’.
c) De FG moet onafhankelijk zijn en de organisatie kunnen controleren. In die zin is het niet logisch dat ze verantwoordelijkheid draagt.
d) Dit IT-manager is niet eindverantwoordelijkheid. Ze speelt weliswaar een ‘responsible’ rol bij de implementatie van technische maatregelen, maar hierover zou ze het best kunnen rapporteren aan een (C)ISO, die dan medeverantwoordelijke (responsible) zou zijn.
Meer lezen over dit onderwerp? Lees verder:
