Lijnmanagers hebben de CISO hard nodig (i.p.v. andersom)


Zoals al langer bekend komt er een nieuwe baseline aan, de Baseline Informatiebeveiliging Overheid, ofwel de BIO. Een van de meest merkbare verschillen tussen de BIG en BIO is dat risicomanagement veel meer centraal staat. Hierin ligt een grote rol en verantwoordelijkheid voor het lijnmanagement weggelegd. Zij moeten per informatiesysteem de risico’s en dus het basisbeveiligingsniveau bepalen . Hoe ga jij hen hier bij helpen?

Voorkomen is beter dan genezen

De druk op gemeenten en andere organisaties om informatiebeveiliging op orde te hebben, wordt met de dag groter, mede met de komst van de AVG. Zo moet informatie online beschikbaar zijn en de uitwisseling van gegevens goed beveiligd zijn. Met name gemeenten zijn sterk afhankelijk van de beschikbaarheid van informatie en de continuïteit van de informatievoorziening voor hun dienstverlening naar burgers en bedrijven. Indien deze in gevaar komt door een incident, zoals brand, kan dit grote gevolgen hebben. Een goede beveiliging van informatie(voorziening) is daarom een randvoorwaarde om de beschikbaarheid en continuïteit van kritische bedrijfsprocessen te garanderen.

Risicomanagement

Met behulp van risicoanalyses, die dus onlosmakelijk aan de BIO verbonden zijn, krijg je inzicht in de afhankelijkheden van kritische processen en de impact bij uitval. Dit kan niet allemaal op het bordje van de CISO landen. Informatiebeveiliging hoort thuis in de lijn want de verantwoordelijkheden houden direct relatie met de bedrijfsvoering. Zo dient de lijnmanager (vaak ook de proceseigenaar) een risicoanalyse uit te voeren en de kwetsbaarheden afhankelijkheden en risico’s vast te stellen. Zij weten in hoeverre risico’s acceptabel zijn voor het proces waar zij verantwoordelijk voor zijn. Ook wanneer onderdelen van het proces naar een externe partij overgaan, blijft de eindverantwoordelijkheid voor de bescherming van de informatie(voorziening) altijd bij de lijnmanager.

Verantwoordelijkheden lijnmanager

In de BIO staan de verantwoordelijkheden voor de lijnmanager beschreven. Zo dient het lijnmanagement, door middel van voornoemde risicoanalyses, de betrouwbaarheidseisen voor zijn/haar informatiesystemen vast te stellen. Dit wordt gedaan aan de hand van de beschikbaarheid, integriteit en vertrouwelijkheid van gegevens. Indien hier maatregelen uitkomen zijn zij primair verantwoordelijk voor het (laten) uitvoeren en implementeren van de maatregelen en/of concrete acties. Het is uiteraard belangrijk om de betrouwbaarheidseisen en bijbehorende maatregelen te monitoren en te toetsen. Lijnmanagement rapporteert over de implementatie en doeltreffendheid van maatregelen richting directie, die eindverantwoordelijk is voor de bedrijfsvoering van de gemeente. De CISO rapporteert op haar beurt over de implementatie van maatregelen in de organisatie als geheel.

Duidelijke afspraken

Het is belangrijk om de scope bij een risicoanalyse helder te hebben. Het moet duidelijk zijn om welke processen of afdelingen het gaat. Hier moeten heldere afspraken over worden gemaakt, zodat duidelijk is wat er van lijnmanagers wordt verwacht. Voor systemen die ondersteunend zijn aan meerdere processen in de organisatie (en dus meerdere eigenaren) moet één lijnmanager aangewezen worden. Neemt de lijnmanager zijn/haar verantwoordelijkheid niet? Dan kan het zijn dat er beveiligingsmaatregelen worden genomen die het werken onmogelijk maken. Dit kan het proces in gevaar brengen en de continuïteit van de bedrijfsvoering in de weg staan. De lijnmanager moet zich bewust zijn van de risico’s die dreigingen met zich mee kunnen brengen, en deze signaleren. De CISO kan hierover adviseren evenals over wat passende beveiligingsmaatregelen zijn.

En dat is niet alles. Ook spelen lijnmanagers een belangrijke rol in het betrekken van hun collega’s bij het creëren van bewustzijn. Betrokkenheid van directie, management en de ondersteunende afdelingen is cruciaal om dit te realiseren. Het is belangrijk dat lijnmanagers een positieve houding hebben ten aanzien van informatiebeveiliging en dat daarbij ook de eigen (voorbeeld)rol en verantwoordelijkheid wordt gevoeld.

Hoe kan je als CISO de lijnmanager helpen?

Uiteraard kan de lijnmanager dit niet allemaal alleen en hebben zij de CISO hier hard bij nodig. Echter moeten lijnmanagers zelf wel op de hoogte zijn, en de urgentie/verantwoordelijkheid voelen om zelf in actie te komen. Anders blijft de situatie bestaan waarin acties/maatregelen vooral op het bordje van de CISO’s landen. De CISO heeft vooral een adviserende en ondersteunende rol richting het lijnmanagement. Om de CISO te helpen deze rol te pakken (en de CISO hopelijk iets te ontlasten) heeft de IBD hier onlangs twee documenten over opgesteld. Een factsheet ‘Informatiebeveiliging en de lijnmanager – Wat is uw rol?’ voor lijnmanagers en een handreiking ‘Risicomanagement door lijnmanagers’ voor CISO’s waarin wordt beschreven hoe je als CISO de lijnmanagers op een constructieve manier kunt wijzen op hun rol en verantwoordelijkheid op het gebied van informatiebeveiliging en privacy.

Indien de rollen en verantwoordelijkheden goed zijn belegd, zullen lijnmanagers en CISO’s elkaar versterken, ze zijn immers ‘partners in crime’. De CISO en lijnmanager hebben elkaar nodig om de juiste beslissingen te nemen die bijdragen aan de gewenste situatie, namelijk het nemen van passende maatregelen voor het reduceren van risico’s en daarnaast aantoonbare compliance. Dus die lijnmanagers hebben de CISO hard nodig.

Renco Schoemaker

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Bijeenkomsten

Alleen voor CISO’s van de (lokale) overheid!

Bekijk wanneer de volgende bijeenkomst is.

Alleen voor Privacy Officers van de (lokale) overheid!

Bekijk wanneer de volgende bijeenkomst is.

Meer blogs lezen

Privacy: prioriteit of moetje?

Deze week bestond de AVG-privacywet drie jaar. De afgelopen jaren hebben gemeenten hard gewerkt om deze privacywet te implementeren. De grootste frustratie van CISO’s, Privacy Officers en FG’s hierbij, is om de aandacht van bestuurders voor dit on…

Met de BIO bezig blijven: hoe lang?

De implementatie van de Baseline Informatiebeveiliging Overheid (BIO) is geen eenvoudige opgave. Waarom wil het niet zo vlotten? Dat staat centraal in deze blog.

Security by Design concreet gemaakt

Met de komst van de AVG in 2018, is er ook veel aandacht voor de begrippen ‘Privacy by Design’ en ‘Security by Design’. Maar wat wordt hier nu eigenlijk mee bedoeld en waarom is het zo belangrijk? In deze blog wil ik graag specifiek ingaan op Secu…

Mobile Device Management: MDM, MAM en Windows 10

Vanuit de BIO is het helder dat je een vorm van beheer dient te voeren op apparaten, waaronder mobiele apparaten als telefoons, tablets en laptops. Welke mogelijkheden heb je daar eigenlijk tot je beschikking voor iOS, Android en Windows 10?

De BIO en het toepassen van encryptie; wat moet je weten?

Encryptie is een serieus onderdeel geworden binnen veel organisaties. Niet voor niets worden er in BIO eisen benoemd als het gaat om encryptie. Welke eisen zijn dit en wat moet je hier als CISO over weten?

De ingrediënten van een jaarverslag

In gemeenteland komt het jaarverslag er weer aan. Schrijf jij als CISO of FG al een separaat jaarverslag over informatiebeveiliging of privacy? Zeker doen!