Ga direct naar inhoud

Grip op informatiebeveiliging: Deel 3

Expertblogs

Weblogbericht | 27-09-2019 | NCSC

In het vorige deel van deze blogserie schreef ik over de noodzakelijke afstemming tussen informatiemanagement en ICT-beheer. In dit derde en laatste deel geef ik een handreiking over hoe het gesprek met de organisatie gevoerd kan worden, om informatiebeveiliging tot een succes te kunnen maken.

Het juiste gesprek met directieleden en lijnmanagers

Net als bij veel organisatie-brede zaken, is de goedkeuring en medewerking vanuit de managementlagen nodig om informatiebeveiliging te kunnen laten slagen. Maar hoe zorg je ervoor dat de directie het belang van iets complex als informatiebeveiliging gaat uitdragen naar de organisatie? En hoe zorg je ervoor dat lijnmanagers met dit onderwerp serieus aan de slag gaan?

Het gesprek met de directie

Om informatiebeveiliging met de directie te kunnen bespreken, moet je je beperken tot het strategische deel ervan: de waarde van informatie en de noodzaak om daar goed zicht en grip op te krijgen. Vanuit die gedachte kan je stellen dat de informatiemanager meer de aangewezen persoon is om in eerste instantie met de directie om tafel te gaan zitten dan de CISO. Zeker als informatiemanagement nog op orde moet worden gebracht. Pas als dat voldoende op poten staat, is het tijd voor de CISO om bij het besprek aan te sluiten. Belangrijk daarbij is dat ook dan informatie en de waarde ervan voor de organisatie het onderwerp van gesprek moet zijn en niet de inhoudelijke aspecten van de beveiliging van die informatie.

Ga als CISO het gesprek aan over op welke wijze en in welke mate informatie belangrijk is. Gaat het om de beschikbaarheid, de integriteit en/of de vertrouwelijkheid? Laat de directie zelf inzien dat sommige informatie zo waardevol of gevoelig is voor de organisatie, dan het noodzakelijk is om deze informatie goed te beveiligen. Ga als CISO niet informatiebeveiliging komen brengen, maar zorg dat de directie het bij jou als CISO komt halen. Dat lukt alleen door de nadruk te leggen op de waarde van informatie en de afhankelijkheid van waardevolle informatie voor de organisatie. Inhoudelijke onderwerpen als het tegengaan van hackers en het voorkomen van incidenten zien ze waarschijnlijk als een ICT-uitdaging en daar zullen zij zich niet snel mee bemoeien.

Het gesprek met de lijnmanagers

Hoewel de directie de eindverantwoordelijkheid draagt voor alle bedrijfsinformatie, zijn zij niet degene die de dagelijkse zorg dragen voor deze informatie. Die taak ligt bij de lijnmanagers. Zij zijn daarom in de praktijk ook verantwoordelijk voor het organisatorische deel van informatiebeveiliging. Echter, zij zijn meestal al druk genoeg met hun huidige verantwoordelijkheden. Het is voor een CISO waarschijnlijk een onmogelijke opgave om lijnmanagers ertoe te zetten om met informatiebeveiliging aan de slag te gaan. De enige manier om dit een kans van slagen te geven is door dit vanuit de directie te laten komen. Zij moeten het goed en veilig omgaan met informatie een verantwoordelijkheid maken van de lijnmanagers, het onderdeel maken van hun takenpakket en hen afrekenen op de resultaten ervan. Ja, veel lijnmanagers zullen onvoldoende kennis hebben om een goede invulling te kunnen geven aan die verantwoordelijkheid, maar dat is precies waarom een organisatie een CISO nodig heeft: om te ondersteunen bij de invulling van het directiebeleid.

De positie van de CISO

Om op de naleving van een directiebeleid te kunnen toezien is een juiste positionering van de CISO in de organisatie noodzakelijk. Die CISO moet geheel vrij zijn in het kritisch beoordelen van hoe binnen de organisatie wordt omgegaan met informatie. Direct onder degene die de eindverantwoordelijkheid draagt voor informatie is daarom de enige juiste positie voor de CISO. Sommige organisaties maken de fout door de CISO als Information Security Officer onder de ICT-manager te plaatsen. Dit is fout omdat het vakgebied waar de CISO zich mee bezighoudt informatiebeveiliging heet en niet ICT-beveiliging. Door vanuit de ICT-afdeling te werken, geeft de CISO mogelijk de onderhuidse boodschap aan de rest van de organisatie af dat waar hij/zij zich mee bezighoudt vooral iets IT-technisch is, iets waar niet-IT-ers zich doorgaans niet mee bemoeien. Ook kan dit ertoe leiden dat een lijnmanager die door de CISO gewezen wordt op het niet naleven van het informatiebeveiligingsbeleid en het daar niet mee eens is, naar de ICT-manager stapt in plaats van naar de directie. Daardoor ontstaat een verkeerde discussie, gevoerd door de verkeerde personen.

De blogserie samengevat

Om informatiebeveiliging op orde te krijgen, begin met informatie los te zien van ICT. Het feit dat informatie vandaag de dag digitaal is, maakt het nog geen verantwoordelijkheid van de ICT-beheerorganisatie. Neem informatie als bedrijfsmiddel en het beheer ervan net zo serieus als je dat doet met financiƫn en personeel. Maak de waarde van informatie een onderwerp van gesprek bij de directie, zodat zij informatiebeveiliging bij de CISO gaan halen in plaats van dat de CISO het moet komen brengen. De directie moet de verantwoordelijkheid voor het goed en veilig omgaan met informatie beleggen bij de lijnmanagers en via hen afdwingen richting de gehele organisatie.

Hugo Leisink

Meer weblogberichten

Reactie toevoegen

U kunt hier een reactie plaatsen. Ongepaste reacties worden niet geplaatst. Uw reactie mag maximaal 2000 karakters tellen.

* verplichte velden

Uw reactie mag maximaal 2000 karakters lang zijn.

Reacties

Er zijn nu geen reacties gepubliceerd.