20.11.2020

De Why, How, What van informatiebeveiliging en privacy voor managers  

Informatiebeveiliging en privacy waarborgen binnen jouw organisatie doe je als Chief Information Security Officer (CISO) en Functionaris Gegevensbescherming (FG) gelukkig niet alleen. De manager heeft de verantwoordelijken van processen en aansluitingen benoemd en stuurt waar nodig bij of aan. Jijzelf coördineert. In deze driehoeksverhouding wordt er organisatie breed continu gewerkt aan het waarborgen van de informatiebeveiliging en privacy. Daarom is een audit vaak een koud kunstje. De realiteit is vaak anders weet jij. Een manager is natuurlijk geen expert in informatiebeveiliging en privacy. Je bent als CISO of FG vaak de aanjager, degene die toch maar weer de kar trekt, omdat het ontbreekt aan urgentie en proactiviteit bij de managers. Kortom de manager pakt niet volledig zijn rol. Hoe krijg je de managers in het zadel? En hoe neem je ze mee van stap naar draf om vervolgens in vol galop te kunnen gaan?

Verantwoordelijk voor processen en daarmee ook voor betrouwbare gegevens

Ten eerste: de manager is verantwoordelijk voor de processen binnen zijn/haar afdeling en daarmee is hij/zij ook verantwoordelijk voor de kwaliteit van het proces. Het goed inrichten van een proces is belangrijk, omdat een betrouwbaar proces zorgt voor betrouwbare resultaten. Veel processen zijn afhankelijk van betrouwbare gegevens en juist daar komt informatiebeveiliging om de hoek kijken. Als CISO of FG weet je dat het hierbij niet alleen over de vertrouwelijkheid en de beschikbaarheid van de gegevens gaat, maar ook over de juistheid, volledigheid en tijdigheid (de integriteit van de gegevens). Als verantwoordelijke voor de processen is de manager ook verantwoordelijk voor de inrichting van het proces, de controle in en op het proces, de proces ondersteunende software en het aansturen van de medewerkers.

De ‘Why’ van informatiebeveiliging en privacy

We geven jou wat handvatten om de manager in het informatiebeveiliging en privacy zadel te helpen, zodat jullie nog lang en gelukkig samen de informatiebeveiliging en privacy kunnen waarborgen. Dit begint bij de Why. Bij privacy is dit het waarborgen van de privacy van de burger, patiënt of leerling.

Informatiebeveiliging is een kwaliteitsaspect waar elke medewerker een steentje aan bij moet dragen. Informatie moet op een juiste wijze verwerkt worden en mag niet zomaar worden verspreid. Het doel van informatiebeveiliging is om de continuïteit van de bedrijfsvoering te waarborgen. Het voorkomen van incidenten en het beperken van potentiële schade is daarom een belangrijk onderdeel van informatiebeveiliging. Informatiebeveiliging heeft daarmee een ontzettend ‘brede’ definitie. Dat is dan ook direct één van de redenen waarom informatiebeveiliging op de werkvloer zo belangrijk is en het ook van belang is dat een manager daar sturing aan geeft.

De ‘How’: de manager is niet alleen op de wereld, lang leve de Ciso en FG

Neem de managers mee in waarom jij als Ciso of FG op aard bent. Of bent aangesteld door jouw organisatie. Natuurlijk zijn de functies vanuit de normenkaders voor informatieveiligheid en de AVG verplicht maar het is aan jou om de meerwaarde ook te communiceren en aan te tonen.

Daar kan je uiting aan geven door gebruik te maken van de gevraagde en ongevraagde adviesfunctie en het uitvoeren van tweedelijns controles. Je bent er om te helpen en te adviseren. Jouw hulp en advies voorkomt vaak veel problemen aan de achteraf. Zorg daarom dat de managers je aanhaken bij:

  • De start van een nieuw project;
  • De inkoop van nieuwe software;
  • Inhuur van medewerkers;
  • Samenwerking met externe partijen waarbij sprake is van gegevensuitwisseling;
  • Informatieverzoeken;
  • Herinrichting van processen; Inrichting van de interne controle;
  • Datalekken.

Vraag de manager een plan te maken of het plan te delen

Door vooruit te kijken worden te initiëren verbeteringen / veranderingen en nieuwe ontwikkelingen inzichtelijk. Het jaarlijkse afdelingsplan is een prima instrument om vast te leggen wat de aandachtspunten zijn, wat de nieuwe ontwikkelingen zijn en wat er aan controles moet plaatsvinden. Vaak wordt dit soort zaken ook al geïnventariseerd voor de begroting en als aanvulling wordt gekeken naar de processen de systemen en de medewerkers.

Faciliteer in projectmatig werken

Het projectmatig werken is nog niet overal gemeen goed, maar door projectmatig werken kunnen kwaliteitseisen wel geborgd worden bij nieuwe ontwikkelingen. Je kunt faciliteren door een beveiligings- en privacy paragraaf op te stellen om deze door de managers op te laten nemen in het template van een projectplan. Zo wordt de manager aan het denken gezet over eventuele risico’s en maatregelen. Bovendien kun jij als FG of CISO in de projectfase meedenken waardoor er direct vanaf de start is nagedacht over informatiebeveiliging en privacy. Geef daarbij ook aan dat dit een vereiste is wat ook verankerd is in de wet als “privacy en security by design”.

Borging in het proces

Informatiebeveiliging en privacy worden dus bij voorkeur geborgd in een proces. Dit kan door vanuit jouw functie de manager advies te geven en op weg te helpen om maatregelen te nemen in proces ondersteunende software. Neem hierin de manager mee in de noodzaak en voordelen van het inrichten. Zo kan hij verantwoording afleggen in de mate waarin het afdelingsplan gevolg heeft gekregen. Denk aan het inrichten van autorisaties, het inbouwen van functiescheiding, het inrichten van de logging en het periodiek controleren. Aansluitend kunnen nog controles worden uitgevoerd om te beoordelen op de ingebouwde kwaliteitseisen ook bij voortduring voldoen. In audittermen noemen we dit een controle op de werking.

Risicomanagement

Iedere manager wil weten waar hij of zij staat met de doelstellingen van de afdeling. Deze instelling zou ook moeten gelden voor privacy en informatieveiligheid. Wat gaat er goed en wat gaat er niet goed? Geef bij de manager aan dat dit inzicht ontstaat door het inventariseren van risico’s. Wanneer je samen bespreekt wat de risico’s zijn voor het aandachtsgebied van de manager kun je in jouw advies het volgende meegeven:

  • Werk met vragenlijsten of lijsten van bedreigingen (DPIA of CRAMM/ MAPGOOD) zodat alle aandachtsgebieden zijn besproken;
  • Beperk de scope bij de manager tot waar hij zelf verantwoordelijk voor is.;
  • Wijs de manager erop de risico’s realistisch te houden (het gevaar van onderschatten of overdrijven ligt veelal op de loer). Een praktische tip is door te kijken naar maatregelen die wel en niet zijn getroffen. Dit geeft een objectief beeld van de situatie.;
  • Laat de manager de risico’s Specifiek Meetbaar Acceptabel Realistisch en Tijdsgebonden (SMART) maken. Door ze concreet te maken kan er direct ook een actie op worden afgezet;
  • Laat de manager de risico afhandeling monitoren;

Door een dergelijke analyse periodiek uit te voeren en de voortgang blijft de organisatie zich steeds weer verbeteren.

What: in control komen en blijven en verantwoording kunnen geven

Is de manager zover dat er aan de voorkant een analyse is gedaan waardoor hij/zij weet wat er bij de uitvoering moet worden gedaan? Daarnaast ook door controles weet of de goede dingen ook echt gedaan zijn? Dan wordt er gewerkt volgens de Plan-Do-Check-Act cyclus (PDCA-cyclus). Deze visual kun je gebruiken om toe te lichten hoe zij in control komen en blijven om zich te kunnen verantwoorden naar de directie, college, raad en stelselhouders.

Conclusie en ondersteuning

De Manager is integraal verantwoordelijk voor zijn/haar aandachtsgebied en daarmee ook voor de informatiebeveiliging en de privacy. Aan jou om met de manager te delen welke rol jij als CISO of FG vervult en te benadrukken dat samen optrekken problemen en correcties achteraf kan voorkomen. Benieuwd hoe wij je verder kunnen helpen met onze tools en diensten voor informatiebeveiliging en privacy? Neem vooral vrijblijvend contact met ons op!