Hoe stuur je op effectieve informatiebeveiliging?

Effectieve informatiebeveiliging vereist een samenspel van verschillende disciplines, rollen en informatie in (en rondom) de organisatie. Als CISO (Chief Information Security Officer) heb je een sturende en aanjagende rol in het realiseren van een passend niveau van digitale weerbaarheid. Dit doe je bijvoorbeeld door het (laten) uitvoeren van risicoanalyses en het opstellen van het informatiebeveiligingsbeleid. Belangrijk hierbij is dat je de verbinding zoekt met jouw organisatie. Effectieve informatiebeveiliging vergt immers dat genomen beveiligingsmaatregelen passen bij de risico’s die jouw organisatie loopt, maar ook past bij de werkwijzes, cultuur en mogelijkheden van jouw organisatie.

Hoe krijg en houd jij de verbinding met jouw organisatie? Wat is jouw rol hierin, en hoe maak jij stapsgewijs verbetering in de informatiebeveiliging? En wat is het nut en noodzaak van het inrichten van governance? In dit artikel geven we een aantal concrete handvatten waarmee je jouw organisatie kan meenemen in het realiseren van effectieve informatiebeveiliging.

Achtergrond

De afgelopen jaren zien we dat diverse ontwikkelingen in de (digitale) veiligheid van onze maatschappij en economie onder druk zetten. Denk daarbij aan COVID-19, de oorlog in Oekraïne en cyberdreigingen. In het licht van deze ontwikkelingen is er sinds 2020 vanuit de Europese Unie gewerkt aan de Network and Information Security (NIS2) directive. Deze richtlijn is gericht op een verbetering van de digitale en economische weerbaarheid van Europese lidstaten. In Nederland zal de NIS2-richtlijn geïmplementeerd worden in de vorm van de Cyberbeveiligingswet.

De Rijksoverheid adviseert organisaties om niet af te wachten totdat de wet- en regelgeving volledig in werking zijn. De risico’s zijn er immers nu ook al. Door nu te beginnen, beveiligen organisaties zich niet alleen tegen deze bestaande risico’s, maar zijn ze straks ook beter voorbereid op de komst van de nieuwe wetgeving.

De handvatten in deze publicatie zijn ter voorbereiding op de NIS2-richtlijn geschreven, maar kunnen ook in bredere context gebruikt worden om te sturen op effectieve informatiebeveiliging. 

Doelgroep: 
Deze publicatie is geschreven voor personen die binnen hun organisatie verantwoordelijk zijn voor het opstellen van het informatiebeveiligingsbeleid en handvatten zoekt om de organisatie stapsgewijs mee te nemen in het realiseren van effectieve informatiebeveiliging.

Aan deze publicatie hebben bijgedragen:
CISO’s en adviseurs van Ministerie van Onderwijs, Cultuur en Wetenschap, Enexis en Veiligheidsregio Utrecht.

Effectieve informatiebeveiliging vereist samenwerking

De digitale weerbaarheid van een organisatie vereist een samenspel van iedereen in de organisatie. Of het nu gaat om het (HR-) screeningsbeleid, het volgen van awareness training, het doorvoeren van beveiligingspatches of het vaststellen en accepteren van risico’s: meerdere personen in de organisatie hebben een rol in of een belang bij.

In praktijk is nog niet iedere organisatie zo ver dat iedereen bewust is van zijn of haar verantwoordelijkheid, dat er een duidelijk beeld is bij de risico’s en weerbaarheid van de organisatie en dat de beveiligingsmaatregelen volledig zijn. De CISO is doorgaans een belangrijke speler om hier inzicht in te krijgen. Bijvoorbeeld door het (laten) uitvoeren van risicoanalyses en het vormgeven van het informatiebeveiligingsbeleid.

Weet wat jouw (toekomstige) bestuur zoekt in een CISO

Effectieve informatiebeveiliging wordt vaak vormgegeven middels het three lines (of defense) model.

In dit model wordt er onderscheid gemaakt tussen de volgende rollen:

Er bestaan in praktijk verschillende opvattingen over wat de rol “CISO” omvat. Organisaties geven vaak een eigen draai bij wat ze zoeken in een CISO. Dit is bijvoorbeeld afhankelijk van de doelstellingen, omvang, cultuur en (digitale) volwassenheid van de organisatie. De meeste (grote) organisaties zien een CISO als adviseur richting risico-eigenaren en ondersteuner bij en/of aanjager van het implementeren van passende beheersmaatregelen. Sommige organisaties hebben behoefte aan een technische CISO die optreedt als eigenaar van (digitale) beveiligingsprocessen, andere organisaties zijn op zoek naar een CISO die invulling geeft aan de (interne) auditkant.

Uitdagingen voor effectief CISO-schap:

Welk type CISO je ook bent, je zal in ieder geval een passend mandaat en budget nodig hebben om effectief te kunnen zijn. Een aantal indicatoren dat je misschien minder mandaat en budget hebt dan gewenst, zijn:

  • De CISO is onderdeel van de IT-organisatie. In dergelijke situaties kan digitale veiligheid gezien worden als een “IT probleem”, waarbij de CISO slechts beperkt mandaat heeft.
  • De security organisatie heeft geen eigen budget, maar moet dit iedere keer apart aanvragen bij bijvoorbeeld de CIO/CTO.
  • Er is geen duidelijke behoefte vanuit het bestuur om geïnformeerd te worden over – of betrokken te zijn bij – de beveiliging in de organisatie.
  • De organisatie kent “CISO” als rol, maar deze heeft geen ondersteuning vanuit een security team. Dit kan zijn omdat de organisatie simpelweg aan het groeien is, maar ook omdat de CISO-rol enkel  gecreëerd is om te voldoen aan directieve beveiligingskaders (wat niet gelijk staat aan effectieve informatiebeveiliging). De CISO heeft naast de adviserende en uitvoerende rol ook een controlerende (audit) rol. Deze rollen zijn niet te combineren.

Ken jouw organisatie

Informatiebeveiligingsbeleid is alleen effectief als het past bij de cultuur, strategie, missie, visie, omvang en werkwijze van de organisatie. Zo kan een omvangrijke organisatie gebaat zijn bij een sterk gedefinieerd bestuursmodel, waar andere organisaties veel meer behoefte hebben aan het creëren van security awareness en informeel contact. Verdiep je in de organisatie om er achter te komen wat het karakter is van jouw organisatie en hoe jij daar het beste op kan aansluiten.

Veel mensen in de organisatie zullen (misschien zonder het te weten) een rol hebben in informatiebeveiliging. Zo heeft IT-beheer een uitvoerende taak op het gebied van patch management en daarmee ook het dichten van kwetsbaarheden. En HR zal, bij de indiensttreding van nieuwe medewerkers, een rol hebben in het informeren over het beveiligingsbeleid. Uiteindelijk zijn al deze medewerkers de oren, ogen en handen van de organisatie. Ze hebben een belangrijke rol in het identificeren en mitigeren van risico’s.

Ga in gesprek met de medewerkers en externe partners. Zorg ervoor dat je goed begrijpt waar jouw organisatie voor staat, wat belangrijk is voor jouw organisatie en hoe verschillende afdelingen en technische systemen daaraan bijdragen. Als CISO is het de facto jouw taak om mensen te laten beseffen dat ook zij een belangrijk rol hebben ten aanzien van de digitale weerbaarheid. Dit kan je op de volgende manieren in de praktijk brengen:

Effectieve KPI’s

Om grip te krijgen over de effectiviteit van (veranderingen in) de informatiebeveiliging is het belangrijk om te meten. Goede Key Performance Indicators (KPI’s) kunnen hierbij helpen. Maak KPIs zo volledig mogelijk en fit-for-purpose, waarbij je rekening houdt met de behoefte van de stakeholder die de (rapportage over) KPIs zal gebruiken. Een goede KPI kent context die iets zegt over de (security) performance. Voor de effectiviteit van het proces “patch management" zegt de KPI “het aantal kwetsbaarheden in het softwareportfolio” bijvoorbeeld weinig. Voorbeelden van betere KPI’s zijn de “mean-time-to-patch” (de gemiddelde tijd tussen het beschikbaar komen van een patch en het doorvoeren hiervan) of “Het relatieve aantal onverholpen kwetsbaarheden in het softwareportfolio waar wel een patch voor beschikbaar is”. En voor een bestuurder is de KPI “totaal aantal incidenten” niet zo relevant als “De mate van verstoring van de bedrijfsvoering als gevolg van beveiligingsincidenten”. KPI’s kunnen zowel kwantitatief als ook kwalitatief zijn. Kies de vorm die het beste bij jouw organisatie past.

Werk stapsgewijs naar effectieve informatiebeveiliging

De (context van jouw) organisatie is continu in beweging. Ontwikkel een visie en roadmap waar mee je vorm geeft aan de toekomstige informatiebeveiliging. Besef je dat informatiebeveiliging geen bestemming is, maar een reis met verschillende tussenstations. Om de informatiebeveiliging naar het volgende niveau te tillen zal je dan ook stapsgewijs moeten werken.
Houd hierbij rekening met het volgende:

Maak afspraken om effectief te kunnen blijven opereren

(Informeel) contact houden met de organisatie is belangrijk om voldoende zicht te houden op de risico’s. Om veranderingen effectief door te voeren is het belangrijk om afspraken te maken over de verantwoordelijkheden en taken. Bijvoorbeeld over het uitvoeren van bepaalde beveiligingsmaatregelen of het rapporteren over hun effectiviteit. Dergelijke afspraken hebben voornamelijk het doel om duidelijkheid te creëren en misverstanden te voorkomen. Ook bieden afspraken handvatten voor escalatie. Bijvoorbeeld als afspraken niet worden nagekomen of als er een onoverkomelijk meningsverschil is tussen jou als CISO en een risico-eigenaar.

Door afspraken te maken en te formaliseren (governance) voorkom je gedoe achteraf en zorg je ervoor dat je als CISO een passend mandaat hebt. Maak afspraken over:

Afspraken en processen zijn alleen effectief als deze gedragen worden door de organisatie. Zorg ervoor dat afspraken bekrachtigd worden door (schriftelijke) instemming van de relevante onderdelen van de organisatie.

Afspraken vastleggen kan op verschillende manieren. Kies vooral iets dat past bij jouw organisatie. Dat kan specifieke GRC-tooling zijn, maar ook een (bedrijfs-)wiki of simpele spreadsheet kunnen voldoen. Bestaande raamwerken en normenkaders, zoals de ISO27001 of het NIST CSF kunnen je helpen om richting te geven over de noodzakelijke afspraken.

Tot slot

Effectief sturen op informatiebeveiliging vereist zowel informeel contact als ook heldere, formele afspraken. Maak gebruik van jouw sociale vaardigheden en redeneer vanuit de bedrijfsdoelstellingen om jouw organisatie stapsgewijs op een passend niveau van digitaal weerbaarheid te krijgen.

Wil je meer weten over dit onderwerp? Op de Risicomanagement Routekaart, Governance en randvoorwaarden geven we nog een aantal aanvullende en verdiepende inzichten voor het inbedden en beheren van het risicomanagementproces in jouw organisatie.

Het doel van deze publicatie is om organisaties te ondersteunen bij de voorbereiding op de NIS2-richtlijn. Deze publicatie biedt geen officiële of juridische basis om aan de NIS2-richtlijn te voldoen.