Lijnmanagers hebben de CISO hard nodig (i.p.v. andersom)


Zoals al langer bekend komt er een nieuwe baseline aan, de Baseline Informatiebeveiliging Overheid, ofwel de BIO. Een van de meest merkbare verschillen tussen de BIG en BIO is dat risicomanagement veel meer centraal staat. Hierin ligt een grote rol en verantwoordelijkheid voor het lijnmanagement weggelegd. Zij moeten per informatiesysteem de risico’s en dus het basisbeveiligingsniveau bepalen . Hoe ga jij hen hier bij helpen?

Voorkomen is beter dan genezen

De druk op gemeenten en andere organisaties om informatiebeveiliging op orde te hebben, wordt met de dag groter, mede met de komst van de AVG. Zo moet informatie online beschikbaar zijn en de uitwisseling van gegevens goed beveiligd zijn. Met name gemeenten zijn sterk afhankelijk van de beschikbaarheid van informatie en de continuïteit van de informatievoorziening voor hun dienstverlening naar burgers en bedrijven. Indien deze in gevaar komt door een incident, zoals brand, kan dit grote gevolgen hebben. Een goede beveiliging van informatie(voorziening) is daarom een randvoorwaarde om de beschikbaarheid en continuïteit van kritische bedrijfsprocessen te garanderen.

Risicomanagement

Met behulp van risicoanalyses, die dus onlosmakelijk aan de BIO verbonden zijn, krijg je inzicht in de afhankelijkheden van kritische processen en de impact bij uitval. Dit kan niet allemaal op het bordje van de CISO landen. Informatiebeveiliging hoort thuis in de lijn want de verantwoordelijkheden houden direct relatie met de bedrijfsvoering. Zo dient de lijnmanager (vaak ook de proceseigenaar) een risicoanalyse uit te voeren en de kwetsbaarheden afhankelijkheden en risico’s vast te stellen. Zij weten in hoeverre risico’s acceptabel zijn voor het proces waar zij verantwoordelijk voor zijn. Ook wanneer onderdelen van het proces naar een externe partij overgaan, blijft de eindverantwoordelijkheid voor de bescherming van de informatie(voorziening) altijd bij de lijnmanager.

Verantwoordelijkheden lijnmanager

In de BIO staan de verantwoordelijkheden voor de lijnmanager beschreven. Zo dient het lijnmanagement, door middel van voornoemde risicoanalyses, de betrouwbaarheidseisen voor zijn/haar informatiesystemen vast te stellen. Dit wordt gedaan aan de hand van de beschikbaarheid, integriteit en vertrouwelijkheid van gegevens. Indien hier maatregelen uitkomen zijn zij primair verantwoordelijk voor het (laten) uitvoeren en implementeren van de maatregelen en/of concrete acties. Het is uiteraard belangrijk om de betrouwbaarheidseisen en bijbehorende maatregelen te monitoren en te toetsen. Lijnmanagement rapporteert over de implementatie en doeltreffendheid van maatregelen richting directie, die eindverantwoordelijk is voor de bedrijfsvoering van de gemeente. De CISO rapporteert op haar beurt over de implementatie van maatregelen in de organisatie als geheel.

Duidelijke afspraken

Het is belangrijk om de scope bij een risicoanalyse helder te hebben. Het moet duidelijk zijn om welke processen of afdelingen het gaat. Hier moeten heldere afspraken over worden gemaakt, zodat duidelijk is wat er van lijnmanagers wordt verwacht. Voor systemen die ondersteunend zijn aan meerdere processen in de organisatie (en dus meerdere eigenaren) moet één lijnmanager aangewezen worden. Neemt de lijnmanager zijn/haar verantwoordelijkheid niet? Dan kan het zijn dat er beveiligingsmaatregelen worden genomen die het werken onmogelijk maken. Dit kan het proces in gevaar brengen en de continuïteit van de bedrijfsvoering in de weg staan. De lijnmanager moet zich bewust zijn van de risico’s die dreigingen met zich mee kunnen brengen, en deze signaleren. De CISO kan hierover adviseren evenals over wat passende beveiligingsmaatregelen zijn.

En dat is niet alles. Ook spelen lijnmanagers een belangrijke rol in het betrekken van hun collega’s bij het creëren van bewustzijn. Betrokkenheid van directie, management en de ondersteunende afdelingen is cruciaal om dit te realiseren. Het is belangrijk dat lijnmanagers een positieve houding hebben ten aanzien van informatiebeveiliging en dat daarbij ook de eigen (voorbeeld)rol en verantwoordelijkheid wordt gevoeld.

Hoe kan je als CISO de lijnmanager helpen?

Uiteraard kan de lijnmanager dit niet allemaal alleen en hebben zij de CISO hier hard bij nodig. Echter moeten lijnmanagers zelf wel op de hoogte zijn, en de urgentie/verantwoordelijkheid voelen om zelf in actie te komen. Anders blijft de situatie bestaan waarin acties/maatregelen vooral op het bordje van de CISO’s landen. De CISO heeft vooral een adviserende en ondersteunende rol richting het lijnmanagement. Om de CISO te helpen deze rol te pakken (en de CISO hopelijk iets te ontlasten) heeft de IBD hier onlangs twee documenten over opgesteld. Een factsheet ‘Informatiebeveiliging en de lijnmanager – Wat is uw rol?’ voor lijnmanagers en een handreiking ‘Risicomanagement door lijnmanagers’ voor CISO’s waarin wordt beschreven hoe je als CISO de lijnmanagers op een constructieve manier kunt wijzen op hun rol en verantwoordelijkheid op het gebied van informatiebeveiliging en privacy.

Indien de rollen en verantwoordelijkheden goed zijn belegd, zullen lijnmanagers en CISO’s elkaar versterken, ze zijn immers ‘partners in crime’. De CISO en lijnmanager hebben elkaar nodig om de juiste beslissingen te nemen die bijdragen aan de gewenste situatie, namelijk het nemen van passende maatregelen voor het reduceren van risico’s en daarnaast aantoonbare compliance. Dus die lijnmanagers hebben de CISO hard nodig.

Renco Schoemaker
Laatste berichten van Renco Schoemaker (alles zien)

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

BIO voor applicatiebeheerders

Om een in-house cursus in te plannen, neem contact met ons op!

Meer blogs lezen

Wat zijn mijn plichten als verwerkingsverantwoordelijke?

Als gemeente ben je in veel gevallen verwerkingsverantwoordelijke voor de persoonsgegevens die je verwerkt. Wanneer je verwerkersverantwoordelijke bent, horen hier een aantal plichten bij. Welke dit zijn, lees je in deze blog.

Wachtwoorden beheren? Gebruik een wachtwoordmanager!

De BIO schrijft voor dat gemeenten een wachtwoordmanager beschikbaar moeten stellen aan hun medewerkers. Maar wat is een wachtwoordmanager nu precies? Wat zijn de voordelen? En hoe veilig zijn ze? Je leest het in deze blog!

Rechten van betrokkenen binnen een gemeentelijke context

Als burger heb je verschillende rechten om controle te houden over je persoonsgegevens – ook wel rechten van betrokkenen genoemd. Maar met welke rechten krijg je als gemeente in de praktijk echt te maken?

CISO versus ISO, wie doet wat?

Binnen de gemeente hebben we de (verplichte) CISO en/of ISO. Maar welke taken horen er nu eigenlijk bij de CISO te liggen en wat zou de ISO moeten doen? Kortom, hoe verhouden deze functies zich tot elkaar en wat zijn de verschillen?

Help! Een dataclassificatie, DPIA en een BIA?!

Vanuit de AVG en BIO zijn er diverse (verplichte) maatregelen waarmee je als gemeente in kaart brengt wat je relevante systemen zijn en/of data is en waar de risico’s liggen met betrekking tot het gebruik ervan, zoals een dataclassificatie, DPIA e…

Verantwoordelijkheden van de proceseigenaar binnen de BIO

Informatiebeveiliging is binnen de BIO een verantwoordelijkheid van de proceseigenaar. Maar waar ben je dan precies verantwoordelijk voor en wat houdt die verantwoordelijkheid in