Ga direct naar inhoud

Grip op informatiebeveiliging: Deel 2

Expertblogs

Weblogbericht | 30-08-2019 | NCSC

In het eerste deel van deze blogserie beschreef ik waarom informatiemanagement een noodzakelijke basis is voor informatiebeveiliging. In deel twee ga ik in op de noodzakelijke afstemming tussen informatiemanagement en ICT-beheer.

Het spel van vraag en aanbod rondom informatieverwerking

Informatie verwerken we vandaag de dag met behulp van de computer. Het goed opzetten en beheren van de benodigde ICT-infrastructuur is een uitdagende opgave. Een valkuil daarbij is dat door de complexiteit van ICT en de tijd en moeite die het beheer ervan daardoor vergt, we dit middel als een doel gaan behandelen. We stoppen veel tijd, geld en moeite in het beheren en verbeteren van dit middel, maar vergeten soms waar we het precies voor doen: het kunnen verwerken van informatie. De aangeboden ICT-oplossing sluit dan mogelijk niet goed aan bij de behoefte. Een goede balans tussen vraag en aanbod van ICT-middelen is cruciaal voor het krijgen en behouden van grip op informatie.

De ideale situatie

In een ideale situatie heeft de organisatie een duidelijke scheiding tussen vraag en aanbod van ICT-middelen. Lijnmanagers zijn verantwoordelijk voor de informatie die bij zijn of haar afdeling hoort. Vanuit de afdelingen bestaat een zekere behoefte aan het kunnen verwerken van informatie, welke door de informatiemanager in kaart wordt gebracht. De informatiemanager gaat daarover in gesprek met de ICT-manager om een passende ICT-infrastructuur te vinden. Deze infrastructuur voorziet in de gevraagde functionaliteit, maar is ook betaalbaar en goed te beheren. De Chief Information Security Officer (CISO) en de Functionaris Gegevensbescherming (FG) zien daarbij toe op de juiste invulling rondom informatiebeveiliging en gegevensbescherming, zoals vastgelegd in een beleid vanuit de directie. Doordat het spel van vraag en aanbod goed en eerlijk gespeeld wordt, is de ICT-voorziening ook goed afgestemd op het ICT-kennisniveau van de gebruikers, wat helpt in het voorkomen van incidenten.

Vergroot afbeelding
Beeld: ©NCSC

De praktijk

Echter, de praktijk kan er heel anders uitzien. In zo’n geval, ontbreekt een goed ingevulde vraagzijde van ICT. Lijnmanagers worden niet verantwoordelijk gehouden voor de informatie die binnen hun afdelingen verwerkt worden. Wat informatie precies is en hoe we daar goed om mee moeten gaan, begrijpen we onvoldoende. We zien vooral dat informatie digitaal is en zien het daarom als een taak voor de ICT-manager om daarop te sturen. We zien informatie onterecht als onderdeel van ICT. De informatiemanager, als we die al hebben, plaatsen we daarom onder de ICT-manager, net als de CISO. Hoewel de FG volgens de wet onder de directie moet vallen, krijgt de FG niet altijd de juiste toegang tot de directie en schakelt in zo’n geval met de laag daaronder. De ICT-manager dicteert hoe het ICT-landschap er uitziet, wat tot gevolg heeft dat geleverd wordt waar niet per se om gevraagd is en niet altijd geleverd wordt waar wel om gevraagd is. Medewerkers gaan vervolgens opzoek naar een ICT-oplossing die wel aan hun wensen en eisen voldoet en vinden dat vaak in de vorm van gratis clouddiensten. Het hebben van zicht op waar alle bedrijfsinformatie opgeslagen ligt en of deze goed beveiligd is, wordt daardoor nog moeilijker. Afdelingsmanagers die een ICT-oplossing willen, zijn in zo’n situatie genoodzaakt om direct met de ICT-manager te schakelen. Iemand met een business-mindset praat daardoor met iemand met een techneuten-mindset. De juiste vertaling tussen die twee wereld ontbreekt, waardoor de eindelijke oplossing mogelijk niet optimaal is.

Vergroot afbeelding
Beeld: ©NCSC

Waar komt deze verkeerde houding vandaan?

Toen we net onze eerste stap maakten in de digitale wereld, was informatie qua hoeveelheid en complexiteit niet veel anders dan in papieren vorm. De vragen die we hadden gingen vaak over de techniek en daarvoor konden we prima terecht bij de ICT-afdeling. Vandaag de dag is informatie anders. We hebben meer informatie en informatie is complexer. Maar omdat we zo gewend zijn om met onze vragen over digitale informatie naar de ICT-afdeling te stappen, doen we dat nu nog steeds. Maar de vragen van toen zijn niet de vragen van nu.

Vroeg je heel vroeger op het gemeentehuis een nieuw paspoort aan, dan zat daar een gemeenteambtenaar met een papieren dossier. De afhandeling ging dan ook volledig op papier. Tegenwoordig zit daar een ambtenaar met datzelfde dossier, maar nu in de computer. De hele afhandeling gebeurt digitaal. In de afgelopen decennia is informatie omgezet van papieren vorm naar digitale vorm en die transitie kon de ICT-afdeling prima uitvoeren. Dat is immers wat de ICT-afdeling doet; het beschikbaar stellen van digitale informatie. Niet meer en niet minder. Vandaag de dag is die uitdaging anders. We laten de computer steeds meer dingen voor ons doen, zoals beslissingen nemen. Zo gaan we niet meer naar het gemeentehuis toe, maar vragen we dat online aan via de gemeentewebsite. Het aanvraag proces met al haar controles en beslissingen dat voorheen door de gemeenteambtenaar werd doorlopen, wordt nu door een computer gedaan. Niet alleen informatie wordt gedigitaliseerd, ook processen worden dus gedigitaliseerd. Omdat we zo gewend zijn om met vragen over digitale zaken bij de ICT-afdeling aan te kloppen, doen we dat ook bij dit soort trajecten. Het grote verschil is echter dat de ICT-afdeling niet over bedrijfsprocessen gaat. Om processen goed te digitaliseren heb je iemand nodig die voldoende verstand heeft van de business, maar ook in voldoende mate van ICT. Die mensen, namelijk informatiemanagers, zijn er wel, maar we maken daar onvoldoende gebruik van.

Concluderend

Zoals in het vorige deel werd gesteld, is informatiemanagement nodig om informatiebeveiliging op orde te kunnen krijgen. Om informatiemanagement zelf op orde te kunnen krijgen, moet een organisatie informatie los gaan zien van ICT. Informatie moet erkend worden als een belangrijk bedrijfsmiddel dat goed georganiseerd en beheerd moet worden. Dat kan alleen door lijnmanagers verantwoordelijk te maken voor de informatie binnen hun afdeling en een informatiemanager aan te stellen die de schakel vormt tussen de lijnmanagers en de ICT-beheerorganisatie. Laat de verwerkingsbehoefte vanuit de organisatie leidend zijn bij het inrichten van ICT, waarbij rekening wordt gehouden met de kosten en de beheerbaarheid.

In de volgende blog geef ik een handreiking over hoe het gesprek met de directie gevoerd kan worden, om informatiebeveiliging tot een succes te kunnen maken.

Hugo Leisink

Meer weblogberichten

Reactie toevoegen

U kunt hier een reactie plaatsen. Ongepaste reacties worden niet geplaatst. Uw reactie mag maximaal 2000 karakters tellen.

* verplichte velden

Uw reactie mag maximaal 2000 karakters lang zijn.

Reacties

  • @Ard: Een 'product owner' zie ik als rol, die bijvoorbeeld aan een lijnmanager toegewezen kan worden. Het 'product owner'-schap moet in ieder geval toegewezen worden aan iemand die bevoegd is om belangrijke beslissingen te kunnen nemen over de applicatie. De verhouding tussen lijnmanager (=product owner) en informatiemanager blijft zoals beschreven.

    Van: Hugo Leisink | 14-10-2019, 15:45

  • Ik zie vandaag de dag veel product owners opdoemen, die buiten ICT geplaatst zijn en daar de verantwoordelijkheid voor het inzetten van ICT middelen dragen namens de gebruikende afdeling. Hoe verhouden de lijnmanager, de informatiemanager en de product owner zich tot elkaar in jouw beeld?

    Van: Ard | 03-09-2019, 14:43