Lijnmanagers hebben de CISO hard nodig (i.p.v. andersom)


Zoals al langer bekend komt er een nieuwe baseline aan, de Baseline Informatiebeveiliging Overheid, ofwel de BIO. Een van de meest merkbare verschillen tussen de BIG en BIO is dat risicomanagement veel meer centraal staat. Hierin ligt een grote rol en verantwoordelijkheid voor het lijnmanagement weggelegd. Zij moeten per informatiesysteem de risico’s en dus het basisbeveiligingsniveau bepalen . Hoe ga jij hen hier bij helpen?

Voorkomen is beter dan genezen

De druk op gemeenten en andere organisaties om informatiebeveiliging op orde te hebben, wordt met de dag groter, mede met de komst van de AVG. Zo moet informatie online beschikbaar zijn en de uitwisseling van gegevens goed beveiligd zijn. Met name gemeenten zijn sterk afhankelijk van de beschikbaarheid van informatie en de continuïteit van de informatievoorziening voor hun dienstverlening naar burgers en bedrijven. Indien deze in gevaar komt door een incident, zoals brand, kan dit grote gevolgen hebben. Een goede beveiliging van informatie(voorziening) is daarom een randvoorwaarde om de beschikbaarheid en continuïteit van kritische bedrijfsprocessen te garanderen.

Risicomanagement

Met behulp van risicoanalyses, die dus onlosmakelijk aan de BIO verbonden zijn, krijg je inzicht in de afhankelijkheden van kritische processen en de impact bij uitval. Dit kan niet allemaal op het bordje van de CISO landen. Informatiebeveiliging hoort thuis in de lijn want de verantwoordelijkheden houden direct relatie met de bedrijfsvoering. Zo dient de lijnmanager (vaak ook de proceseigenaar) een risicoanalyse uit te voeren en de kwetsbaarheden afhankelijkheden en risico’s vast te stellen. Zij weten in hoeverre risico’s acceptabel zijn voor het proces waar zij verantwoordelijk voor zijn. Ook wanneer onderdelen van het proces naar een externe partij overgaan, blijft de eindverantwoordelijkheid voor de bescherming van de informatie(voorziening) altijd bij de lijnmanager.

Verantwoordelijkheden lijnmanager

In de BIO staan de verantwoordelijkheden voor de lijnmanager beschreven. Zo dient het lijnmanagement, door middel van voornoemde risicoanalyses, de betrouwbaarheidseisen voor zijn/haar informatiesystemen vast te stellen. Dit wordt gedaan aan de hand van de beschikbaarheid, integriteit en vertrouwelijkheid van gegevens. Indien hier maatregelen uitkomen zijn zij primair verantwoordelijk voor het (laten) uitvoeren en implementeren van de maatregelen en/of concrete acties. Het is uiteraard belangrijk om de betrouwbaarheidseisen en bijbehorende maatregelen te monitoren en te toetsen. Lijnmanagement rapporteert over de implementatie en doeltreffendheid van maatregelen richting directie, die eindverantwoordelijk is voor de bedrijfsvoering van de gemeente. De CISO rapporteert op haar beurt over de implementatie van maatregelen in de organisatie als geheel.

Duidelijke afspraken

Het is belangrijk om de scope bij een risicoanalyse helder te hebben. Het moet duidelijk zijn om welke processen of afdelingen het gaat. Hier moeten heldere afspraken over worden gemaakt, zodat duidelijk is wat er van lijnmanagers wordt verwacht. Voor systemen die ondersteunend zijn aan meerdere processen in de organisatie (en dus meerdere eigenaren) moet één lijnmanager aangewezen worden. Neemt de lijnmanager zijn/haar verantwoordelijkheid niet? Dan kan het zijn dat er beveiligingsmaatregelen worden genomen die het werken onmogelijk maken. Dit kan het proces in gevaar brengen en de continuïteit van de bedrijfsvoering in de weg staan. De lijnmanager moet zich bewust zijn van de risico’s die dreigingen met zich mee kunnen brengen, en deze signaleren. De CISO kan hierover adviseren evenals over wat passende beveiligingsmaatregelen zijn.

En dat is niet alles. Ook spelen lijnmanagers een belangrijke rol in het betrekken van hun collega’s bij het creëren van bewustzijn. Betrokkenheid van directie, management en de ondersteunende afdelingen is cruciaal om dit te realiseren. Het is belangrijk dat lijnmanagers een positieve houding hebben ten aanzien van informatiebeveiliging en dat daarbij ook de eigen (voorbeeld)rol en verantwoordelijkheid wordt gevoeld.

Hoe kan je als CISO de lijnmanager helpen?

Uiteraard kan de lijnmanager dit niet allemaal alleen en hebben zij de CISO hier hard bij nodig. Echter moeten lijnmanagers zelf wel op de hoogte zijn, en de urgentie/verantwoordelijkheid voelen om zelf in actie te komen. Anders blijft de situatie bestaan waarin acties/maatregelen vooral op het bordje van de CISO’s landen. De CISO heeft vooral een adviserende en ondersteunende rol richting het lijnmanagement. Om de CISO te helpen deze rol te pakken (en de CISO hopelijk iets te ontlasten) heeft de IBD hier onlangs twee documenten over opgesteld. Een factsheet ‘Informatiebeveiliging en de lijnmanager – Wat is uw rol?’ voor lijnmanagers en een handreiking ‘Risicomanagement door lijnmanagers’ voor CISO’s waarin wordt beschreven hoe je als CISO de lijnmanagers op een constructieve manier kunt wijzen op hun rol en verantwoordelijkheid op het gebied van informatiebeveiliging en privacy.

Indien de rollen en verantwoordelijkheden goed zijn belegd, zullen lijnmanagers en CISO’s elkaar versterken, ze zijn immers ‘partners in crime’. De CISO en lijnmanager hebben elkaar nodig om de juiste beslissingen te nemen die bijdragen aan de gewenste situatie, namelijk het nemen van passende maatregelen voor het reduceren van risico’s en daarnaast aantoonbare compliance. Dus die lijnmanagers hebben de CISO hard nodig.

Renco Schoemaker
Laatste berichten van Renco Schoemaker (alles zien)

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

BIO voor applicatiebeheerders

Kijk voor meer informatie op onze website

Meer blogs lezen

De AVG versus de Wet politiegegevens (Wpg)

: Naast de AVG hebben politie en justitie te maken met de Wet politiegegevens (Wpg). Maar ook als gemeente heb je te maken met de Wpg, namelijk bij het werk van Buitengewoon opsporingsambtenaren (Boa’s). In deze blog leggen we uit hoe de AVG en Wp…

Implementatie van BCM – voorkomen is beter dan genezen

Om te voorkomen dat je kritische bedrijfsprocessen stilvallen, is het slim om potentiële bedreigingen vroegtijdig in kaart te brengen en een inschatting te maken van het effect van elke bedreiging op deze kritische processen. Dit proces noemen we …

Voldoe je als gemeente aan de AVG?

Veel gemeenten hebben zich de afgelopen jaren met de AVG beziggehouden om ervoor te zorgen dat zij AVG-proof zijn. Met de AVG ben je alleen nooit ‘klaar’. Privacy is namelijk een continu proces. Maar hoe weet je of je als gemeente voldoet aan de AVG?

Behaviour by Design?

Alleen technische beveiligingsmaatregelen nemen om incidenten te voorkomen is nooit genoeg. Uiteindelijk draait het om het gedrag van mensen. Maar hoe zorg je voor bewuste medewerkers? Ofwel, hoe maak je bewustwording tot een succes?

Gezichtsherkenning een inbreuk op de privacy?

Gezichtsherkenning is een methode om de identiteit van personen te ontdekken of te controleren aan de hand van hun gezicht. Privacyorganisaties maken zich zorgen over de opmars van slimme camera’s met gezichtsherkenning. Want hoe zit het met het w…

Wanneer gebruik je BBN2+?

Binnen de BIO wordt gebruik gemaakt van drie basisbeveiligingniveaus, ook wel BBN’s genoemd. Voor de meeste informatiesystemen is BBN2 voldoende. Maar het kan voorkomen dat een gemeentelijk informatiesysteem een hoger beschermingsniveau nodig heef…