Hoe stuur je op effectieve informatiebeveiliging?

Doelgroep: 
Deze artikel is geschreven voor mensen die binnen hun organisatie verantwoordelijk zijn voor het opstellen van het informatiebeveiligingsbeleid en handvatten zoeken om daarin effectiever te worden, en inzien dat je daarvoor de organisatie stapsgewijs moet meenemen in de keuzes en uitvoering die je daarvoor moet maken. 

Achtergrond

Eind 2022 is de Europese Network and Information Security Directive (NIS2-richtlijn) vastgesteld. De NIS2 is gericht op een versterking van de digitale en economische weerbaarheid van Europese lidstaten. De NIS2 wordt in Nederland omgezet naar de Cyberbeveiligingswet (Cbw), die naar verwachting in Q2 2026 in werking treedt. De Rijksoverheid adviseert organisaties om niet af te wachten met actie ondernemen totdat de Cbw volledig in werking is. De risico’s zijn er immers al. Door nu te beginnen, beveilig je je organisatie niet alleen tegen bestaande risico’s, maar ben je ook beter voorbereid op de komst van de nieuwe wetgeving. 

Effectieve informatiebeveiliging vereist samenwerking

Effectieve informatiebeveiliging vereist een samenspel van verschillende disciplines, rollen en informatie in (en rondom) jouw organisatie. Of het nu gaat om het screeningsbeleid, het volgen van awareness-trainingen, het doorvoeren van beveiligingspatches of het vaststellen en accepteren van risico’s: iedereen in jouw organisatie heeft hier een rol in of een belang bij. In de praktijk is nog niet iedere organisatie zo ver dat iedereen zich bewust is van zijn of haar verantwoordelijkheid, dat er een duidelijk beeld is bij de risico’s en weerbaarheid van jouw organisatie en dat de beveiligingsmaatregelen op een passend niveau zijn ingericht. 

Als CISO heb je een sturende en aanjagende rol in het realiseren van passende digitale weerbaarheid. Bijvoorbeeld door het (laten) uitvoeren van risicoanalyses en het opstellen van informatiebeveiligingsbeleid. Het is belangrijk dat je hierbij de verbinding zoekt met jouw organisatie. Effectieve informatiebeveiliging vergt namelijk dat de getroffen beveiligingsmaatregelen passen bij de risico’s die jouw organisatie loopt, maar ook bij de werkwijze, cultuur en mogelijkheden. 

1. Afstemming tussen CISO‑visie en bestuursvisie

Zorg dat jouw visie op het CISO-schap en de visie van het bestuur aansluiten op elkaar. Jij en je bestuur hebben beiden een visie op wat het CISO-schap inhoudt. Het is belangrijk dat deze visies op elkaar aansluiten. Je kijkt hierbij zowel naar de rol die je inneemt als CISO, als de kwaliteiten die jij als persoon meeneemt in deze rol. 

Effectieve informatiebeveiliging wordt vaak vormgegeven door middel van het three lines of defense model. Dit model maakt onderscheid tussen de volgende rollen:

1. De (eind)verantwoordelijke: de eigenaar van en de verantwoordelijke voor een bedrijfsproces. Denk aan een bestuurder of een proceseigenaar. De eigenaar van het proces is ook de (eind)verantwoordelijke voor de beveiliging van dit proces. 
2. De risicomanager/kadersteller: houdt zich actief bezig met het analyseren van risico’s in het kader van informatiebeveiliging. Hij/zij adviseert de (eind)verantwoordelijke over deze risico’s, heeft een sturende rol bij het identificeren van passende beheersmaatregelen en ondersteunt bij het implementeren ervan.
3. De (onafhankelijke) auditor: controleert de effectiviteit van het risicomanagementproces en de algemene informatiebeveiliging, en rapporteert hierover richting het bestuur. Deze rol kun je beleggen als onafhankelijk onderdeel van de organisatie of extern vervullen.

In dit model is niet expliciet vastgelegd waar de rol van de CISO thuishoort: afhankelijk van de organisatie sluit de CISO-rol aan bij één van deze drie rollen. Organisaties geven vaak een eigen invulling aan wat ze zoeken, afhankelijk van bijvoorbeeld de doelstellingen, omvang, cultuur en (digitale) volwassenheid. De meeste (grote) organisaties zien een CISO als adviseur richting risico-eigenaren en ondersteuner bij en/of aanjager van het implementeren van passende beheersmaatregelen. Sommige organisaties hebben behoefte aan een technische CISO die optreedt als eigenaar van digitale veiligheidsprocessen, andere organisaties zijn meer op zoek naar een CISO die invulling geeft aan de (interne) auditkant. 

Wat uiteindelijk belangrijk is om mee te nemen uit het Three Lines of Defense model, is dat er een zekere ‘segregation of duties’ (functiescheiding) wordt gehanteerd. Het gescheiden houden van functies is belangrijk om verantwoordelijkheden helder te houden, belangenverstrengeling te voorkomen en te zorgen dat interne controle effectief blijft. 

Los van de behoeftes van een organisatie verschillen de kwaliteiten die een CISO heeft. Een CISO kan goed zijn in het behouden of verhogen van het huidige beveiligingsniveau, het voldoen aan wet- en regelgeving, of juist sterk zijn in verandermanagement. Sommige CISO’s zijn sterk in de techniek, waar anderen sterk zijn in bestuurskundige aspecten of stakeholdermanagement. 

Om effectief te kunnen zijn moet jouw visie over het CISO-schap aansluiten bij de visie van het bestuur, de volwassenheid en de behoefte van de organisatie. Zorg dat je hiervan een goed beeld hebt. Dit doe je bij voorkeur al tijdens jouw sollicitatiegesprekken. Stel vragen om te achterhalen of er een match is tussen jou en de organisatie, zoals: 

• Hoe belangrijk is informatiebeveiliging voor deze organisatie? En wat maakt dat zodanig belangrijk? 
• Welke verwachtingen heb je voor mij in deze rol? Aan wie rapporteer ik? 
• Op welke manier is digitale weerbaarheid ingebed in de organisatie? Hoe wordt hierin samengewerkt? 
• Hoe ziet de security-organisatie eruit? Uit wie bestaat het team en beschikt het team over een eigen budget? 
• Is er een security roadmap? En zo nee, moet die er komen (en waarom, volgens jou)?
• Wat zijn de belangrijkste doelstellingen van de organisatie waar ik een bijdrage aan kan leveren? Welke grote veranderingen komen eraan voor de organisatie?

Afhankelijk van de antwoorden die jij krijgt op deze vragen kun je een beeld schetsen bij de belangrijkste uitdagingen van de organisatie en of jij de rol passend en naar verwachting in kan vullen. 

Uitdagingen voor effectief CISO-schap

Wat voor CISO je ook bent, je hebt in ieder geval een passend mandaat en budget nodig om effectief te kunnen zijn. 
Een aantal indicatoren dat je misschien minder mandaat en budget hebt dan je wilt, zijn: 

• De CISO is onderdeel van IT-organisatie. In zulke situaties kan digitale weerbaarheid gezien worden als een ‘IT-probleem’, waarbij de CISO slechts beperkt mandaat heeft. 
• De securityorganisatie heeft geen eigen budget, maar moet dit iedere keer apart aanvragen bij bijvoorbeeld de CIO/CTO. 
• Er is geen duidelijke behoefte vanuit het bestuur om geïnformeerd te worden over of betrokken te zijn bij de informatiebeveiliging van de organisatie. 
• De organisatie kent ‘CISO’ als rol, maar hij/zij heeft geen ondersteuning vanuit een security team. Bijvoorbeeld doordat de organisatie simpelweg (nog) te klein is, maar ook omdat de CISO-rol enkel gecreëerd is om te voldoen aan directieve beveiligingskaders (wat niet gelijk staat aan effectieve informatiebeveiliging). 
• De CISO heeft, naast de adviserende en uitvoerende rol, ook een controlerende (audit) rol. Deze rollen zijn niet te combineren (zie Three Lines of Defense model). 

2. Ken jouw organisatie

Informatiebeveiligingsbeleid is alleen effectief als het past bij de cultuur, strategie, misse, visie, omvang, en werkwijze van de organisatie. Informatiebeveiliging dient er namelijk juist voor dat jouw organisatie ongestoord haar doelen kan blijven nastreven, niet om organisatiedoelen te belemmeren.

Zo kan een omvangrijke organisatie gebaat zijn bij een sterk gedefinieerd bestuursmodel, waar andere organisaties meer behoefte hebben aan het creëren van bewustzijn en informerend contact. Verdiep je in de organisatie om erachter te komen wat het karakter is van jouw organisatie en hoe jij daar het beste op kunt aansluiten. Zorg ervoor dat je goed begrijpt waar je organisatie voor staat, wat belangrijk is en hoe verschillende afdelingen en technische systemen daaraan bijdragen. Het artikel ‘Hoe breng ik mijn te beschermen belangen in kaart’ geeft je handvatten voor hoe je de te beschermen belangen in kaart brengt op verschillende niveaus. Hierdoor krijg je inzichtelijk wat belangrijk is voor je organisatie en waar dus prioriteiten liggen.

Veel mensen in de organisatie zullen (misschien zonder het te weten) een rol hebben in informatiebeveiliging. Zo heeft IT-beheer een uitvoerende taak op het gebied van patch management en daarmee het dichten van kwetsbaarheden. De afdeling die zich ontfermt over personeelszaken zal bij indiensttreding van nieuwe medewerkers moeten zorgen dat nieuwe medewerkers geïnformeerd worden over het beveiligingsbeleid. Uiteindelijk zijn alle medewerkers de oren, ogen, en handen van de organisatie. Ze hebben een belangrijke rol in het identificeren en mitigeren van risico’s. Als CISO is het de facto jouw taak om mensen te laten beseffen dat ook zij een belangrijke rol hebben ten aanzien van digitale weerbaarheid. 

Dit kun je op verschillende manieren in praktijk brengen:

3. Stapsgewijs naar sterke informatiebeveiliging

De (context van jouw) organisatie is continu in beweging. Ontwikkel een visie en roadmap waar je de toekomstige informatiebeveiliging mee vormgeeft. Besef dat informatiebeveiliging geen bestemming is, maar een reis met verschillende tussenstations. Om informatiebeveiliging naar het volgende niveau te tillen werk je dan ook stapsgewijs. Houd hierbij rekening met het volgende: 

Meten is weten
Het nemen van beveiligingsmaatregelen leidt niet altijd tot een verbetering van de beveiliging van de organisatie. Maak vooraf duidelijk welk effect je wilt bereiken en stel goede KPI’s op om dit effect te kunnen meten.

Doe het stap-voor-stap
Maak veranderingen in meerdere kleine stappen om de organisatie hier stapsgewijs in mee te nemen. Op deze manier waarborg je dat de organisatie tijd heeft om te wennen aan veranderingen en dit minder als een grote last wordt ervaren. 

Prioriteer jouw beoogde veranderingen
Afhankelijk van jouw visie en de behoefte van de organisatie zul je de voorkeur hebben om bepaalde stappen eerst te nemen. Prioriteer deze op basis van de meest urgente risico’s, zodat je gericht kan sturen op de meest effectieve maatregelen.

Maak gebruik van momentum
Niet alle veranderingen die jij wilt doorvoeren zullen op evenveel draagvlak kunnen rekenen. Wanneer er aandacht is voor bepaalde ontwikkelingen – zoals een groot (intern óf extern) incident of een verandertraject kun je het momentum dat hierdoor ontstaat gebruiken voor de verbetering van informatiebeveiliging. 

Stel je dienstbaar op
Informatiebeveiliging is voor veel mensen een ver-van-hun-bed-show of kan worden ervaren als een ‘last’. Redeneer vanuit de visie dat informatiebeveiliging de bedrijfsvoering moet dienen. En als je iets van anderen verwacht, help ze het dan ook mogelijk maken. Neem een onderzoekende houding aan en kom tot een passende oplossing die aansluit bij de manier van werken van jouw organisatie. 

4. Maak duidelijke operationele afspraken

Om veranderingen effectief door te voeren en bestaande processen goed te laten verlopen is het belangrijk om afspraken te maken over verantwoordelijkheden en taken. Je maakt hierbij bijvoorbeeld afspraken over het uitvoeren van bepaalde beveiligingsmaatregelen of het rapporteren over hun effectiviteit. Zulke afspraken hebben voornamelijk het doel om duidelijkheid en eigenaarschap te creëren en misverstanden te voorkomen. Ook bieden afspraken handvatten voor escalatie, bijvoorbeeld als afspraken niet worden nagekomen of bij een onoverkomelijk meningsverschil tussen jou en de risico-eigenaar. Door afspraken te maken en te formaliseren (governance) voorkom je gedoe achteraf en zorg je ervoor dat je als CISO een passend mandaat hebt. (Informeel) contact houden met mensen binnen de organisatie is hierbij belangrijk om voldoende zicht te houden op de risico’s. Maak daarom afspraken over: 

Reguliere contact- en afstemmomenten
Om een vinger aan de pols te houden is het verstandig om periodiek af te stemmen met jouw (belangrijkste) stakeholders. Denk aan informatieve gesprekken met bestuurders en overige risico-eigenaren, maar ook overleggen waar besluiten worden genomen. 

Verantwoordelijkheden en bevoegdheden
Effectieve informatiebeveiliging vereist dat het voor iedereen duidelijk is wie waarvoor verantwoordelijkheden en bevoegd is. Overweeg het gebruik van het RA(S)CI-model. Met dit model beschrijf je per beheersmaatregel: wie verantwoordelijk (R) is, wie aansprakelijk (A) is, wie ondersteuning (S) biedt, wie geraadpleegd (C) wordt, en wie geïnformeerd (I) wordt. Hierdoor houdt jouw organisatie grip op de verantwoordelijkheden en bevoegdheden betreffende informatiebeveiliging. 

Rapportage en KPI’s
Verschillende stakeholders zullen behoeft hebben aan (periodieke) rapportages rondom de informatiebeveiliging van de organisatie. Spreek af op welke manier en met welke frequentie er gerapporteerd wordt. Bespreek wat de belangrijkste behoefte is van jouw stakeholders en betrek ze bij het opstellen van passende en haalbare KPI’s. 

Escalatie en escalatielijnen
In de ideale situatie worden afspraken nagekomen en vind je als CISO altijd een passende oplossing met een risico-eigenaar. Het kan het ook gebeuren dat je er niet samen uitkomt, bijvoorbeeld wanneer een maatregel als een te zware belasting op de bedrijfsvoering wordt ervaren. In dat geval is het belangrijk om afspraken te hebben over hoe een probleem op hoger niveau beslecht kan worden. Maak duidelijk onder welke omstandigheden een opschaling moet en kan plaatsvinden en hoe dat proces eruitziet, zodat de organisatie profiteert van tijdige besluitvorming. 

Afspraken vastleggen kan op verschillende manieren. Kies vooraf iets dat past bij jouw organisatie. Dat kan specifieke GRC-tooling zijn, maar ook een (bedrijfs-)wiki of simpele spreadsheet. Bestaande raamwerken, zoals de ISO27001 of NIST-CSF  helpen je om richting te geven over de noodzakelijke afspraken. 

Afspraken en processen zijn alleen effectief als deze gedragen worden door de organisatie. Zorg ervoor dat afspraken worden bekrachtigd door het bestuur van de organisatie. De Cbw vereist bovendien dat genomen maatregelen onder de zorgplicht, goed worden gekeurd door het bestuur van de belangrijke of essentiële entiteit (Cbw, Art. 24, lid 1). Daarnaast vereist de Cbw dat het bestuur beschikt over kennis en vaardigheden om risico’s en beheersmaatregelen op het gebied van cybersecurity te kunnen identificeren en beoordelen. Als CISO kun je gebruik maken van deze vereisten om je bestuur mee te nemen in je aanpak. Dit artikel helpt bestuurders om het gesprek aan te gaan met CISO’s en de juiste vragen te stellen in het kader van risicomanagement en informatiebeveiliging. 

Afsluiting

De kern van effectieve informatiebeveiliging is dat het de organisatie in haar doelstellingen verder helpt, niet tegenwerkt. Effectief sturen op informatiebeveiliging vereist zowel informeel contact als heldere, formele afspraken. Maak, naast jouw inhoudelijke kennis, ook gebruik van jouw sociale vaardigheden en redeneer vanuit de bedrijfsdoelstellingen om jouw organisatie stapsgewijs op een passend niveau van digitale weerbaarheid te krijgen.

In samenwerking met:
CISO’s en adviseurs van het Ministerie van Onderwijs, Cultuur en Wetenschap, Enexis en Veiligheidsregio Utrecht.