Home / Nieuws & Blogs / Effectief leiden van een veilige organisatie

Effectief leiden van een veilige organisatie

| 10 mei 2022

Afgelopen maand hebben wij een poll gedeeld op LinkedIn (395 stemmen) en Twitter (55 stemmen). Hierin vroegen wij wie uiteindelijk verantwoordelijk zou moeten zijn voor informatiebeveiliging. Bij deze vraag stonden vier antwoordopties: a) Directie, b) CISO, c) FG en d) IT-manager. In een serie van twee blogs wil ik ingaan op de uitkomsten van deze resultaten, en mijn analytische zoektocht naar het juiste antwoord.

Wie is verantwoordelijk voor informatiebeveiliging?

De stemmen zijn geteld en de uitkomst is:

  1. Directie (91% en 90% van de stemmen)
  2. CISO (7% en 5,5% van de stemmen)
  3. FG (1% en 1,8% van de stemmen)
  4. IT-manager (1% en 1,8% van de stemmen)

Een overweldigende meerderheid gaf aan dat de directie verantwoordelijk zou moeten zijn. Mijns inziens is dit het enige juiste antwoord op de vraag, maar toch is dit in de praktijk niet altijd terug te zien. Ondanks dat voor de meerderheid in ons netwerk wellicht al duidelijk is dat de directie uiteindelijk verantwoordelijk is voor informatiebeveiliging, wil ik deze vraag toch op een analytische wijze beantwoorden.  

RASCI-model

Een belangrijke noot is dat er wordt gevraagd naar wie ‘uiteindelijk’ verantwoordelijk is. Om de verantwoordelijkheidsvraag helder te krijgen, wil ik het RASCI-model uitlichten. Dit model bestaat uit vijf verantwoordelijkheden:

  1. Responsible, de rol die verantwoordelijk is. Dit is minimaal één persoon.
  2. Accountable, de rol die eindverantwoordelijk is. Dit is maar één rol, en is altijd (onderdeel van) senior management.
  3. Support, de rol die ondersteuning levert.
  4. Consult, de rol die kan adviseren.
  5. Inform, de rol die moet worden geïnformeerd.

Aan de hand van het RASCI-model kunnen we bepalen dat wordt gevraagd wie ‘accountable’ is. Dit zal leiden tot een ander antwoord dan wanneer wordt gevraagd wie verantwoordelijk (responsible) is. Om de vraag te beantwoorden wie eindverantwoordelijk is voor informatiebeveiliging kijken we naar de ISO 27001 en de NEN 7510. De ISO 27001/NEN 7510 zijn standaarden voor een ‘Information Security Management System’ (ISMS).

ISMS en leiderschap

Wanneer een organisatie een ISMS conform een van deze standaarden inricht, komt zij in aanmerking voor certificering. Certificering kan leiden tot talloze voordelen, omdat je aantoonbaar in control bent van informatiebeveiliging, waaronder een nieuwe aanwas van klanten. Daarnaast kan certificering verplicht zijn vanuit leveranciers, of vanuit overheidsinstellingen om, bijvoorbeeld, in aanmerking te komen voor subsidies.

Niet alleen organisaties die een certificering ambiëren, hebben baat bij een juiste inrichting van een ISMS. Ook andere organisaties kunnen hiervan profiteren. Bovendien dwingt de AVG organisaties om voldoende technische en organisatorische beveiligingsmaatregelen te nemen. Met de implementatie van een ISMS zet je hiervoor belangrijke stappen. De inrichting van een ISMS hoeft niet te betekenen dat je direct moet overgaan tot certificering van de ISO 27001/NEN 7510. Een dergelijke certificering vraagt namelijk meer van organisaties dan het enkel inrichten van een ISMS. Zo moet bijvoorbeeld ook een interne audit zijn uitgevoerd. Hoe de implementatie van het ISMS er in zijn volledigheid uitziet valt buiten de scope van dit artikel, maar ik wil wel graag inzoomen op de onderdelen die zien op het stukje leiderschap om de vraag die voorhanden ligt te beantwoorden.

In hoofdstuk 5 van de ISO 27001/NEN 7510 komen harde vereisten terug voor leiderschap. In het kort:

  • Directie moet het informatiebeveiligingsbeleid vaststellen dat passend is voor de organisatie. Dat beleid moet concrete informatiebeveiligingsdoelstellingen bevatten of een kader bieden voor het vaststellen van dergelijke doelstellingen.
  • De directie moet de verantwoordelijkheden en bevoegdheden met betrekking tot informatiebeveiliging toekennen en communiceren.
  • Een hoop concrete verantwoordelijkheden, waaronder:
    1. het bewerkstelligen dat het informatiebeveiligingsbeleid en de informatiebeveiligingsdoelstellingen worden vastgesteld en aansluiten op de strategie van de organisatie;
    2. het belang van informatiebeveiliging en het ISMS te communiceren aan de organisatie;
    3. het bewerkstelligen dat er voldoende resources beschikbaar zijn en dat de beoogde resultaten worden behaald;
    4. mensen aan te sturen en te ondersteunen om een bijdrage te leveren aan de doeltreffendheid van het ISMS; en
    5. andere relevante managementfuncties te ondersteunen om hun leiderschap te tonen binnen hun verantwoordelijkheidsgebieden.

In hoofdstuk 9.3 wordt de directie op nog een verantwoordelijkheid gewezen. Ze moet namelijk het ISMS met geplande tussenpozen beoordelen om de continue geschiktheid, toereikendheid en de doeltreffendheid van het ISMS te waarborgen.

Directie is eindverantwoordelijk

Aan de hand van bovenstaande vereisten is het niet onlogisch om te concluderen dat de directie eindverantwoordelijk (accountable) is voor informatiebeveiliging. Wat er ook gebeurt in de lagen daaronder, de directie is hiervoor verantwoordelijk. Een vraag waar ik me nu niet aan wil wagen is of directieleden persoonlijk aansprakelijk zijn als de informatiebeveiliging niet op orde is, maar ik kan me voorstellen dat dergelijke scenario’s bestaan.

De directie zal hoogstwaarschijnlijk de verantwoordelijkheden van informatiebeveiliging (in bepaalde mate) delegeren. Een rol die daar vaak voor wordt gebruikt is de CISO of de (I)SO. Het gebruik van deze rol kan echter verwarrend zijn, omdat de CISO vaak wel de verantwoordelijkheden krijgt van informatiebeveiliging, maar niet de invloed om het werk effectief te verrichten. In een ideale situatie heeft de CISO wel voldoende bevoegdheden, de CISO zou dan verantwoordelijk zijn (responsible). Wanneer de CISO een directiefunctie betreft, dan is er misschien eerder sprake van gedelegeerde eindverantwoordelijkheid (accountable) vanuit de directie aan de CISO.