Vorige keer hebben jullie het eerste deel van deze serie kunnen lezen. Toen gingen wij nader in op de resultaten van een poll die wij hadden gedeeld op LinkedIn en Twitter. De resultaten hiervan zijn terug te vinden in deel 1 van deze serie.
In deel 1 van deze serie hebben we via het RASCI-model kunnen concluderen dat we op zoek zijn naar de ‘Accountable’ rol. Na analyse van de ISO27001/NEN7510 kwamen we tot de conclusie dat directie verantwoordelijk zou zijn. Het antwoord lijkt erg simpel, maar de praktijk wijst helaas uit dat er een hoop uitdagingen zijn. Deze uitdagingen worden in deze blog nader uiteengezet.
Als we inzoomen op informatiebeveiliging stuiten we ook op andere verantwoordelijkheidsvragen: 1) welke risico’s loopt mijn informatie? 2) hoe kan ik deze risico’s het beste mitigeren? 3) wie mag toegang hebben tot mijn informatie?
In principe is een informatie-eigenaar verantwoordelijk voor zijn ‘eigen’ informatie. De CISO zou hier een adviserende en controlerende rol in moeten spelen. Het kan dus zo zijn dat een informatie-eigenaar responsible is, terwijl de CISO een meer consult/inform rol aanneemt. Omdat de mate van beveiliging uiteindelijk toch de verantwoordelijkheid is van de CISO lijkt het mij echter logischer om de CISO dan als medeverantwoordelijk te benoemen (responsible). In beide gevallen is de directie eindverantwoordelijk (accountable).
De hierboven omschreven uitdagingen zijn een kleine greep uit de praktijk die ik regelmatig tegenkom bij organisaties. Het geeft aan hoe incorrecte organisatorische verhoudingen binnen informatiebeveiliging kunnen leiden tot onwenselijke situaties. Ik pleit dan ook voor een top-down werking van informatiebeveiliging, waarbij de initiële en uiteindelijke verantwoordelijkheid ligt bij de directie. De directie kan een directeur aanwijzen als portefeuillehouder van informatiebeveiliging (en eventueel privacy). Die directeur moet ervoor zorgen dat informatiebeveiliging tijdens het directieoverleg wordt geagendeerd, en houdt de overige directieleden op de hoogte van de stand van zaken.
Mijn advies is om vervolgens een directieverklaring uit te brengen naar de organisatie om aan te geven wat de intentie is van de organisatie met betrekking tot informatiebeveiliging. Je kunt bijvoorbeeld denken aan de intentie om te certificeren, of gewoon om informatiebeveiliging serieus op te pakken. Communiceer dan direct wie waarvoor verantwoordelijk is, en vraag om medewerking van de organisatie. De aanpak van informatiebeveiliging valt of staat bij de draagkracht van de medewerkers. Als de medewerker weet dat het bericht vanuit directie komt dan wordt dit serieus genomen.
Daarnaast luidt mijn advies om een ISMS conform de ISO 27001/NEN 7510 in te richten zodat commitment en leiderschap over een langere termijn, in een verbetercyclus, kan worden gegarandeerd. Certificering is uiteraard niet verplicht.
Voor een effectieve aanpak van informatiebeveiliging is dus een duidelijk, gestructureerde leiderschap nodig. Over het antwoord op de vraag ‘wie is uiteindelijk verantwoordelijk voor informatiebeveiliging?’ kunnen we het volgende zeggen:
a) De directie is eindverantwoordelijkheid, zij kan de verantwoordelijk aan een directielid delegeren.
b) Een CISO is niet eindverantwoordelijkheid, tenzij het een gedelegeerde bevoegdheid betreft van de directie en de CISO zelf een directielid is. De CISO kan ook gemandateerd worden door directie, maar is dan eerder ‘responsible’.
c) De FG moet onafhankelijk zijn en de organisatie kunnen controleren. In die zin is het niet logisch dat ze verantwoordelijkheid draagt.
d) Dit IT-manager is niet eindverantwoordelijkheid. Ze speelt weliswaar een ‘responsible’ rol bij de implementatie van technische maatregelen, maar hierover zou ze het best kunnen rapporteren aan een (C)ISO, die dan medeverantwoordelijke (responsible) zou zijn.
Meer lezen over dit onderwerp? Lees verder:
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.