Waarom deze handreiking?
Informatiebeveiliging is vaak voor lijnmanagers “ver van mijn bed”, iets dat ergens centraal binnen de organisatie wordt geregeld en waar je op afdelingsniveau geen omkijken naar hebt. Want informatiebeveiliging, daar hebben we toch een CISO voor benoemd? Niets is minder waar. Als CISO heeft u alleen een adviserende en coördinerende rol in relatie tot informatiebeveiliging.
Informatiebeveiliging is integraal onderdeel van de bedrijfsprocessen. Voor elk proces of systeem is een lijnmanager verantwoordelijk en die verantwoordelijkheid strekt zich dus ook uit tot de verantwoordelijkheid voor informatiebeveiliging. Hoe krijgt u als CISO de lijnmanager in de juiste stand als het om informatiebeveiliging gaat?
Als CISO wilt u dezelfde taal spreken als de lijnmanager. Een lijnmanager denkt meestal niet vanuit beveiligingsmaatregelen, maar (bewust of onbewust) vanuit dreigingen en risico's. Een lijnmanager denkt niet in termen van maatregelen om ongeautoriseerde toegang tot het systeem te voorkomen, maar hij weet wel dat misbruik van vertrouwelijke informatie een dreiging is waartegen iets moet worden gedaan. Bij de implementatie van beveiligingsmaatregelen is niet de maatregel het uitgangspunt, maar de dreiging waar de maatregel op is gericht. Het is de verantwoordelijkheid van de lijnmanager om een afweging te maken welke dreigingen een risico vormen voor het uitvoerende proces. Als CISO helpt u de lijnmanager de mogelijke beveiligingsmaatregelen te bepalen om verantwoord met deze risico's om te gaan.
Implementatie van de BIO lijkt soms een doel te zijn, dat gerealiseerd moet worden door de CISO. Dat gaat voorbij aan het feit dat de BIO niet meer is dan een instrument om beveiligingsmaatregelen gestructureerd in te voeren. Bij implementatie van beveiligingsmaatregelen is er geen sprake van 'one size fits all'. Per informatiesysteem moet gekeken worden of de beveiligingsmaatregelen passend zijn of aanvulling vereisen, of dat er ruimte is om af te wijken ('pas toe of leg uit'). Het doel van informatiebeveiliging is dat risico’s ten aanzien van beschikbaarheid, integriteit en vertrouwelijkheid van informatie worden voorkomen. De basis voor informatiebeveiliging is risicomanagement en dat is onderdeel van de taken van de lijnmanager.
Uw rol als CISO is om lijnmanagers te helpen bij het leggen van de relatie tussen dreigingen en risico's en de mogelijke beheer- en beveiligingsmaatregelen. Daarbij laat u de ruimte bij de lijnmanager om vanuit zijn integrale verantwoordelijkheid voor informatiesystemen binnen zijn organisatieonderdeel maatregelen wel of niet van toepassing te verklaren of aan te scherpen. Aan die keuze ligt een risicoafweging ten grondslag.
Doelstelling van deze handreiking
Deze handreiking legt de relatie tussen de risico’s in het uitvoerende proces en informatiebeveiliging. Wat is de rol van de lijnmanager bij het leggen van deze relatie en welke rol speelt u als CISO in dit verband? Het doel van de handreiking is om u een handvat te geven voor het gesprek met de lijnmanager over informatiebeveiliging, met het doel de lijnmanager in de juiste rol te plaatsen in de beveiligingsorganisatie. Als CISO heeft u een adviserende en coördinerende rol, maar de lijnmanager is uiteindelijk verantwoordelijk voor de keuze welke beveiligingsmaatregelen op het informatiesysteem van toepassing worden verklaard.
Download
hier de handreiking 'Risicomanagement door lijnmanagers'
