Het is een patroon dat ik in de afgelopen jaren veelvuldig heb gezien: als het over informatiebeveiliging gaat, wijzen de vingers al snel naar de CISO. Die moet het maar regelen, denkt men. Maar informatiebeveiliging is geen CISO-taak alléén – het is óók een managementtaak die thuishoort in de lijn. Tijd eens goed uit te leggen hoe ik dit zie, dacht ik. Het heet niet voor niets een opinie. Ik schreef in 2018 ook al eens over dit onderwerp.
De CISO als voetbalelftal?
Doelman, spelverdeler én spits
De ‘Factsheet Informatiebeveiliging en de lijnmanager’ van de IBD maakt een mooie vergelijking: verwachten dat de CISO verantwoordelijk is voor alle informatiebeveiliging is als verwachten dat een voetbaltrainer zelf doelman, spelverdeler én spits is. Natuurlijk werkt dat niet. De CISO ondersteunt en adviseert, maar de echte eigenaren van informatiebeveiliging zijn de lijnmanagers en proceseigenaren. Zij kennen de risico's in hun processen, zij beslissen over de balans tussen risicoacceptatie en maatregelen (risicomitigatie) en zij zijn verantwoordelijk voor de continuïteit van diensten. Natuurlijk mogen ze daar hulp bij verwachten, maar dat is wat anders. O ja, ze gaan ook over de poen.
Informatiebeveiliging afwegen
En precies daarvoor is een ISMS
De rol van het lijnmanagement is niet vrijblijvend. De BIO2 en de komende Cyberbeveiligingswet vragen van (overheids)organisaties dat risico's aantoonbaar worden beheerst. Dat kan alleen als lijnmanagers hun verantwoordelijkheid nemen. Anders krijgt het perspectief (advies) van informatiebeveiliging mogelijk een te grote rol. Een CISO kan je niet kwalijk nemen dat ‘ie beveiligingsmaatregelen adviseert bij informatiebeveiligingsrisico’s (een fietsenmaker zegt ook dat je je ketting moet smeren). Maar lijnmanagers kunnen, nee: moeten, die risico’s en de uitvoeringskosten afwegen tegen andere (business) belangen. Dat moet en kan je niet afschuiven op de CISO; daar moet het management voor gaan staan. Iets met een (eveneens onder BIO2 verplicht) ISMS.
"Een CISO kan je niet kwalijk nemen dat ‘ie beveiligingsmaatregelen adviseert bij informatiebeveiligingsrisico’s. Maar lijnmanagers kunnen die risico’s en uitvoeringskosten afwegen tegen andere (business) belangen."
Risicomanagement en ISMS
Een essentieel onderdeel van een Information Security Management Systeem (ISMS) is het risicomanagementproces. Eerder schreef ik al eens blogs over (beleids)uitgangspunten voor risicomanagement, de implementatie in de praktijk en over een goede doorvertaling van beleid naar de praktijk.
Je kan ook deze 'content collecties' (wat zijn dat?) bekijken/volgen over het ISMS en risicomanagement. Daar vind je blogs, podcasts, video's en links inhoudelijk gegroepeerd bij elkaar. Handig toch?
Het samenspel
Tussen lijnmanager en CISO
Lijnmanagers moeten hun processen goed (!) kennen. Dat betekent: weten welke informatie kritiek is, wat de afhankelijkheden zijn, en wat er mis kan gaan. Daarbij helpen BIV-classificaties, risico quick scans en volwaardige risicoanalyses waarbij ze worden bijgestaan door de (C)ISO. Uit die analyses komt een helder beeld: welke risico's zijn acceptabel, welke maatregelen zijn nodig, en waar moet de organisatie aanvullend investeren bovenop de overheidsmaatregelen uit BIO2?
De lijnmanager zorgt vervolgens dat maatregelen in de praktijk worden nageleefd. Niet omdat het moet van de CISO, maar omdat het nodig is voor het proces en de gegarandeerde continuïteit van dienstverlening. En als het niet haalbaar blijkt? Dan is de lijnmanager de eerste die signaleert: "Dit werkt niet, we moeten dit anders aanpakken." De CISO ontwerpt, implementeert en coördineert het (rapportage)proces waaruit dit ‘boven komt drijven’.
De werkelijkheid vandaag
Irritatie over ad-hoc maatregelen afschuiven
Helaas ziet de praktijk er vaak anders uit. CISO's verzuipen in het werk omdat zij alle aapjes op hun schouders krijgen én nemen. Lijnmanagers voelen zich niet verantwoordelijk, of weten niet dat ze dat zijn. Het gevolg: ad hoc implementeren in plaats van structureel borgen. Een lage volwassenheid dus en mogelijk ineffectieve beveiligingsmaatregelen. En als er dan maatregelen komen die het werken lastig maken, klaagt iedereen bij de lijnmanager – die dan zwicht omdat het "toch van de CISO komt”. Vóór implementatie dient de eerder genoemde afweging tussen risicoacceptatie en -mitigatie te worden gemaakt door het management. Zij staan daar voor aan de lat. Informatiebeveiliging hoort in dat opzicht niet bij de CISO. Het hoort in de lijn. Hé, het goede nieuws is dat het proces van risicomanagement zich hier uitstekend voor leent. Nee, voor ís.
Een cultuuromslag
Ja, sorry. Origineel is het niet nee..
Wat nodig is, is een cultuuromslag. Directie en management moeten informatiebeveiliging een verantwoordelijkheid maken van lijnmanagers. Niet als extra taak erbij, maar als onderdeel van hun kerntakenpakket. Net zoals lijnmanagers verantwoordelijk zijn voor het welzijn van hun medewerkers – zonder zelf medisch expert te zijn – zo zijn ze ook verantwoordelijk voor de beveiliging van bedrijfsinformatie. Dat betekent: zorgen dat de juiste experts hen adviseren, en op basis daarvan verstandige keuzes maken.
Uit het ISMS-document van de IBD blijkt duidelijk hoe deze verantwoordelijkheden zijn verdeeld volgens ISO 27001 (mijn volgende video gaat hierover). De directie is eindverantwoordelijk, de CISO ondersteunt strategisch en tactisch, en de lijnmanagers en proceseigenaren implementeren. Zonder die uitvoering in de lijn blijft elk ISMS een papieren tijger. En blijf je als CISO een gebrekkige voortgang rapporteren om over effectiviteit nog maar niet te spreken.
"Net zoals lijnmanagers verantwoordelijk zijn voor het welzijn van hun medewerkers – zonder zelf medisch expert te zijn – zo zijn ze ook verantwoordelijk voor de beveiliging van bedrijfsinformatie."
De CISO als onmisbare partner
Omdat de manager er natuurlijk niet alleen voor staat
Betekent dit dat lijnmanagers het zelf moeten uitzoeken? Natuurlijk niet. De CISO is onmisbaar. Niet als uitvoerder, maar als adviseur, coördinator en sparringpartner. De CISO helpt met het voorbereiden van risicoanalyses, geeft duiding bij dreigingsbeelden, zorgt voor samenhang in het gemeentelijk ISMS, en ondersteunt bij het vergroten van bewustzijn. Waar zit jij als CISO in het Three Lines Model?
Maar deze ondersteuning werkt alleen als lijnmanagers zelf in actie komen. Als zij de urgentie voelen, hun verantwoordelijkheid pakken, en informatiebeveiliging zien als onderdeel van hun werk – niet als last van bovenaf. En dus met goede argumenten tegensputteren wanneer de CISO beveiligingsmaatregelen adviseert om een risico te mitigeren. Voer dat goede gesprek vooraf in plaats van achteraf de irritatie af te schuiven op de CISO ('die begon er over').
Tot slot
Op weg naar (een) volwassen informatiebeveiliging(sorganisatie)
Informatiebeveiliging is geen ICT-taak. Het is geen (solo) CISO-taak. Het is allereerst een managementtaak die in de lijn thuishoort. Daar waar de processen draaien, de informatie wordt verwerkt en de risico's zich voordoen. Alleen daar kan informatiebeveiliging echt worden geborgd. En precies om die reden is een ISMS conform de ISO 27001 in de BIO2 een verplichting geworden.
Dus: lijnmanagers, pak je verantwoordelijkheid. CISO's, blijf adviseren en neem níet alles over. En directie, maak het mogelijk en stuur er op. Pas dan krijgen we (een) volwassen informatiebeveiliging(sorganisatie) die écht werkt.
Deze link maakt onderdeel uit van een content collectie. Wat dat is leg ik hier uit. Via onderstaande button vind je alle content rondom het onderwerp ISMS bij elkaar.
