Skip to main content

Lijnmanagers hebben de CISO hard nodig (i.p.v. andersom)


Zoals al langer bekend komt er een nieuwe baseline aan, de Baseline Informatiebeveiliging Overheid, ofwel de BIO. Een van de meest merkbare verschillen tussen de BIG en BIO is dat risicomanagement veel meer centraal staat. Hierin ligt een grote rol en verantwoordelijkheid voor het lijnmanagement weggelegd. Zij moeten per informatiesysteem de risico’s en dus het basisbeveiligingsniveau bepalen . Hoe ga jij hen hier bij helpen?

Voorkomen is beter dan genezen

De druk op gemeenten en andere organisaties om informatiebeveiliging op orde te hebben, wordt met de dag groter, mede met de komst van de AVG. Zo moet informatie online beschikbaar zijn en de uitwisseling van gegevens goed beveiligd zijn. Met name gemeenten zijn sterk afhankelijk van de beschikbaarheid van informatie en de continuïteit van de informatievoorziening voor hun dienstverlening naar burgers en bedrijven. Indien deze in gevaar komt door een incident, zoals brand, kan dit grote gevolgen hebben. Een goede beveiliging van informatie(voorziening) is daarom een randvoorwaarde om de beschikbaarheid en continuïteit van kritische bedrijfsprocessen te garanderen.

Risicomanagement

Met behulp van risicoanalyses, die dus onlosmakelijk aan de BIO verbonden zijn, krijg je inzicht in de afhankelijkheden van kritische processen en de impact bij uitval. Dit kan niet allemaal op het bordje van de CISO landen. Informatiebeveiliging hoort thuis in de lijn want de verantwoordelijkheden houden direct relatie met de bedrijfsvoering. Zo dient de lijnmanager (vaak ook de proceseigenaar) een risicoanalyse uit te voeren en de kwetsbaarheden afhankelijkheden en risico’s vast te stellen. Zij weten in hoeverre risico’s acceptabel zijn voor het proces waar zij verantwoordelijk voor zijn. Ook wanneer onderdelen van het proces naar een externe partij overgaan, blijft de eindverantwoordelijkheid voor de bescherming van de informatie(voorziening) altijd bij de lijnmanager.

Verantwoordelijkheden lijnmanager

In de BIO staan de verantwoordelijkheden voor de lijnmanager beschreven. Zo dient het lijnmanagement, door middel van voornoemde risicoanalyses, de betrouwbaarheidseisen voor zijn/haar informatiesystemen vast te stellen. Dit wordt gedaan aan de hand van de beschikbaarheid, integriteit en vertrouwelijkheid van gegevens. Indien hier maatregelen uitkomen zijn zij primair verantwoordelijk voor het (laten) uitvoeren en implementeren van de maatregelen en/of concrete acties. Het is uiteraard belangrijk om de betrouwbaarheidseisen en bijbehorende maatregelen te monitoren en te toetsen. Lijnmanagement rapporteert over de implementatie en doeltreffendheid van maatregelen richting directie, die eindverantwoordelijk is voor de bedrijfsvoering van de gemeente. De CISO rapporteert op haar beurt over de implementatie van maatregelen in de organisatie als geheel.

Duidelijke afspraken

Het is belangrijk om de scope bij een risicoanalyse helder te hebben. Het moet duidelijk zijn om welke processen of afdelingen het gaat. Hier moeten heldere afspraken over worden gemaakt, zodat duidelijk is wat er van lijnmanagers wordt verwacht. Voor systemen die ondersteunend zijn aan meerdere processen in de organisatie (en dus meerdere eigenaren) moet één lijnmanager aangewezen worden. Neemt de lijnmanager zijn/haar verantwoordelijkheid niet? Dan kan het zijn dat er beveiligingsmaatregelen worden genomen die het werken onmogelijk maken. Dit kan het proces in gevaar brengen en de continuïteit van de bedrijfsvoering in de weg staan. De lijnmanager moet zich bewust zijn van de risico’s die dreigingen met zich mee kunnen brengen, en deze signaleren. De CISO kan hierover adviseren evenals over wat passende beveiligingsmaatregelen zijn.

En dat is niet alles. Ook spelen lijnmanagers een belangrijke rol in het betrekken van hun collega’s bij het creëren van bewustzijn. Betrokkenheid van directie, management en de ondersteunende afdelingen is cruciaal om dit te realiseren. Het is belangrijk dat lijnmanagers een positieve houding hebben ten aanzien van informatiebeveiliging en dat daarbij ook de eigen (voorbeeld)rol en verantwoordelijkheid wordt gevoeld.

Hoe kan je als CISO de lijnmanager helpen?

Uiteraard kan de lijnmanager dit niet allemaal alleen en hebben zij de CISO hier hard bij nodig. Echter moeten lijnmanagers zelf wel op de hoogte zijn, en de urgentie/verantwoordelijkheid voelen om zelf in actie te komen. Anders blijft de situatie bestaan waarin acties/maatregelen vooral op het bordje van de CISO’s landen. De CISO heeft vooral een adviserende en ondersteunende rol richting het lijnmanagement. Om de CISO te helpen deze rol te pakken (en de CISO hopelijk iets te ontlasten) heeft de IBD hier onlangs twee documenten over opgesteld. Een factsheet ‘Informatiebeveiliging en de lijnmanager – Wat is uw rol?’ voor lijnmanagers en een handreiking ‘Risicomanagement door lijnmanagers’ voor CISO’s waarin wordt beschreven hoe je als CISO de lijnmanagers op een constructieve manier kunt wijzen op hun rol en verantwoordelijkheid op het gebied van informatiebeveiliging en privacy.

Indien de rollen en verantwoordelijkheden goed zijn belegd, zullen lijnmanagers en CISO’s elkaar versterken, ze zijn immers ‘partners in crime’. De CISO en lijnmanager hebben elkaar nodig om de juiste beslissingen te nemen die bijdragen aan de gewenste situatie, namelijk het nemen van passende maatregelen voor het reduceren van risico’s en daarnaast aantoonbare compliance. Dus die lijnmanagers hebben de CISO hard nodig.

IB&P

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

Informatiebeveiliging en Privacy voor I-adviseurs en projectleiders

Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!

Meer blogs lezen

Het beheren van verwerkersovereenkomsten

Om ervoor te zorgen dat derde partijen ook de juiste beveiligingsmaatregelen nemen, moet je afspraken maken in een verwerkersovereenkomst. Het is niet genoeg om deze overeenkomst eenmalig af te sluiten; je moet regelmatig controleren of de verwerk…

Bedrijfscontinuïteit volgens BIO, NIS2, ISO 27001 en NEN 7510

BCM is een belangrijk onderdeel binnen verschillende belangrijke beveiligings- en normstandaarden, zoals de BIO, NIS2, ISO 27001 en NEN 7510.

De kracht van ambassadeurs

Hoe zorg je voor een informatieveilige omgeving en hoe maak je medewerkers bewust van hun belangrijke rol? Informatieveiligheidsambassadeurs kunnen hierin het verschil maken.

BCM-routekaart voor gemeenten

Met een goed geïmplementeerd BCM-systeem ben je als organisatie beter voorbereid, waardoor je sneller en effectiever kunt reageren op verstoringen.

Inzicht in je risico’s: onmisbaar voor elke gemeente

In de digitale wereld is het beschermen van informatie en het beheren van risico’s cruciaal, ook voor gemeenten. Waarom dit belangrijk is en hoe je dit aanpakt, lees je in deze blog.

Rapportage Datalekken AP 2023

Te veel organisaties in Nederland die worden getroffen door een cyberaanval, waarschuwen betrokkenen niet dat hun gegevens in verkeerde handen zijn gevallen’. Dit blijkt uit het jaarlijkse overzicht van datalekmeldingen in Nederland van de Autorit…