Skip to main content

Lijnmanagers hebben de CISO hard nodig (i.p.v. andersom)


Zoals al langer bekend komt er een nieuwe baseline aan, de Baseline Informatiebeveiliging Overheid, ofwel de BIO. Een van de meest merkbare verschillen tussen de BIG en BIO is dat risicomanagement veel meer centraal staat. Hierin ligt een grote rol en verantwoordelijkheid voor het lijnmanagement weggelegd. Zij moeten per informatiesysteem de risico’s en dus het basisbeveiligingsniveau bepalen . Hoe ga jij hen hier bij helpen?

Voorkomen is beter dan genezen

De druk op gemeenten en andere organisaties om informatiebeveiliging op orde te hebben, wordt met de dag groter, mede met de komst van de AVG. Zo moet informatie online beschikbaar zijn en de uitwisseling van gegevens goed beveiligd zijn. Met name gemeenten zijn sterk afhankelijk van de beschikbaarheid van informatie en de continuïteit van de informatievoorziening voor hun dienstverlening naar burgers en bedrijven. Indien deze in gevaar komt door een incident, zoals brand, kan dit grote gevolgen hebben. Een goede beveiliging van informatie(voorziening) is daarom een randvoorwaarde om de beschikbaarheid en continuïteit van kritische bedrijfsprocessen te garanderen.

Risicomanagement

Met behulp van risicoanalyses, die dus onlosmakelijk aan de BIO verbonden zijn, krijg je inzicht in de afhankelijkheden van kritische processen en de impact bij uitval. Dit kan niet allemaal op het bordje van de CISO landen. Informatiebeveiliging hoort thuis in de lijn want de verantwoordelijkheden houden direct relatie met de bedrijfsvoering. Zo dient de lijnmanager (vaak ook de proceseigenaar) een risicoanalyse uit te voeren en de kwetsbaarheden afhankelijkheden en risico’s vast te stellen. Zij weten in hoeverre risico’s acceptabel zijn voor het proces waar zij verantwoordelijk voor zijn. Ook wanneer onderdelen van het proces naar een externe partij overgaan, blijft de eindverantwoordelijkheid voor de bescherming van de informatie(voorziening) altijd bij de lijnmanager.

Verantwoordelijkheden lijnmanager

In de BIO staan de verantwoordelijkheden voor de lijnmanager beschreven. Zo dient het lijnmanagement, door middel van voornoemde risicoanalyses, de betrouwbaarheidseisen voor zijn/haar informatiesystemen vast te stellen. Dit wordt gedaan aan de hand van de beschikbaarheid, integriteit en vertrouwelijkheid van gegevens. Indien hier maatregelen uitkomen zijn zij primair verantwoordelijk voor het (laten) uitvoeren en implementeren van de maatregelen en/of concrete acties. Het is uiteraard belangrijk om de betrouwbaarheidseisen en bijbehorende maatregelen te monitoren en te toetsen. Lijnmanagement rapporteert over de implementatie en doeltreffendheid van maatregelen richting directie, die eindverantwoordelijk is voor de bedrijfsvoering van de gemeente. De CISO rapporteert op haar beurt over de implementatie van maatregelen in de organisatie als geheel.

Duidelijke afspraken

Het is belangrijk om de scope bij een risicoanalyse helder te hebben. Het moet duidelijk zijn om welke processen of afdelingen het gaat. Hier moeten heldere afspraken over worden gemaakt, zodat duidelijk is wat er van lijnmanagers wordt verwacht. Voor systemen die ondersteunend zijn aan meerdere processen in de organisatie (en dus meerdere eigenaren) moet één lijnmanager aangewezen worden. Neemt de lijnmanager zijn/haar verantwoordelijkheid niet? Dan kan het zijn dat er beveiligingsmaatregelen worden genomen die het werken onmogelijk maken. Dit kan het proces in gevaar brengen en de continuïteit van de bedrijfsvoering in de weg staan. De lijnmanager moet zich bewust zijn van de risico’s die dreigingen met zich mee kunnen brengen, en deze signaleren. De CISO kan hierover adviseren evenals over wat passende beveiligingsmaatregelen zijn.

En dat is niet alles. Ook spelen lijnmanagers een belangrijke rol in het betrekken van hun collega’s bij het creëren van bewustzijn. Betrokkenheid van directie, management en de ondersteunende afdelingen is cruciaal om dit te realiseren. Het is belangrijk dat lijnmanagers een positieve houding hebben ten aanzien van informatiebeveiliging en dat daarbij ook de eigen (voorbeeld)rol en verantwoordelijkheid wordt gevoeld.

Hoe kan je als CISO de lijnmanager helpen?

Uiteraard kan de lijnmanager dit niet allemaal alleen en hebben zij de CISO hier hard bij nodig. Echter moeten lijnmanagers zelf wel op de hoogte zijn, en de urgentie/verantwoordelijkheid voelen om zelf in actie te komen. Anders blijft de situatie bestaan waarin acties/maatregelen vooral op het bordje van de CISO’s landen. De CISO heeft vooral een adviserende en ondersteunende rol richting het lijnmanagement. Om de CISO te helpen deze rol te pakken (en de CISO hopelijk iets te ontlasten) heeft de IBD hier onlangs twee documenten over opgesteld. Een factsheet ‘Informatiebeveiliging en de lijnmanager – Wat is uw rol?’ voor lijnmanagers en een handreiking ‘Risicomanagement door lijnmanagers’ voor CISO’s waarin wordt beschreven hoe je als CISO de lijnmanagers op een constructieve manier kunt wijzen op hun rol en verantwoordelijkheid op het gebied van informatiebeveiliging en privacy.

Indien de rollen en verantwoordelijkheden goed zijn belegd, zullen lijnmanagers en CISO’s elkaar versterken, ze zijn immers ‘partners in crime’. De CISO en lijnmanager hebben elkaar nodig om de juiste beslissingen te nemen die bijdragen aan de gewenste situatie, namelijk het nemen van passende maatregelen voor het reduceren van risico’s en daarnaast aantoonbare compliance. Dus die lijnmanagers hebben de CISO hard nodig.

IB&P

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

Informatiebeveiliging en Privacy voor I-adviseurs en projectleiders

Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!

Meer blogs lezen

Van code naar vertrouwen: bouw het veilig

Software is overal. Maar hoe zit het eigenlijk met de veiligheid van software? Is de software bestand tegen hackers, datalekken en technische verstoringen?

Wat kunnen gemeenten leren van het Sectorbeeld Overheid 2024?

In oktober 2024 heeft de Autoriteit Persoonsgegevens (AP) het ‘Sectorbeeld Overheid 2024’ gepubliceerd. Wat zijn de belangrijkste bevindingen en aanbevelingen? Je leest het in deze blog.

Wat is bewustwording eigenlijk?

: In veel organisaties wordt het belang van bewustwording steeds weer benadrukt. Veel organisaties organiseren daarom bewustwordingsactiviteiten, zoals het versturen van wekelijkse e-mails met tips, zoals: “Vergrendel je scherm als je even wegloop…

Rapporteren zonder resultaat; de frustratie van elke FG en CISO

Een belangrijke taak van de FG en CISO is adviseren en rapporteren. Maar wat doe je als deze adviezen niet worden opgevolgd?

Hoe voer je een Business Impact Analyse (BIA) uit?

Met een BIA krijg je inzicht in de kritieke processen binnen je organisatie en bepaal je wat de mogelijke gevolgen zijn als er iets misgaat. Dit helpt jouw organisatie om te bepalen welke processen je als eerste weer opstart en hoe je de impact va…

Waarom is het lastig om structureel DPIA’s uit te voeren?

Toen de AVG van kracht werd, zijn gemeenten actief aan de slag gegaan om de privacy van hun inwoners te waarborgen, waaronder het uitvoeren van DPIA’s. Ondanks de verplichting en het belang van DPIA’s blijkt dat maar een klein aantal gemeenten dez…