Hoe stuur je op effectieve informatiebeveiliging?

Effectieve informatiebeveiliging vereist een samenspel van verschillende disciplines, rollen en informatie in (en rondom) de organisatie. Als CISO heb je een sturende en aanjagende rol in het realiseren van passende digitale weerbaarheid. Bijvoorbeeld door het (laten) uitvoeren van risicoanalyses en het opstellen van het informatiebeveiligingsbeleid. Het is belangrijk dat je hierbij de verbinding zoekt met jouw organisatie. Effectieve informatiebeveiliging vergt immers dat de getroffen beveiligingsmaatregelen passen bij de risico’s die jouw organisatie loopt, maar ook de werkwijzes, cultuur en mogelijkheden van jouw organisatie.

Afhankelijk van de organisatie waar jij werkzaam in bent kan er een groot gat zitten tussen de ‘ideale’ situatie – waarin de juiste personen zich bewust zijn van hun rol in de digitale weerbaarheid van de organisatie – en de praktijk. En toch zal jij als CISO, vanuit jouw eigen context, moeten sturen op effectieve informatiebeveiliging. Hoe doe jij deze sturing effectief? Hoe krijg en houd jij de verbinding met jouw organisatie? Wat is jouw rol hierin, en hoe maak jij stapsgewijs verbetering in de informatiebeveiliging? En wat is het nut en noodzaak van het inrichten van governance? In dit artikel geven we een aantal concrete handvatten waarmee je jouw organisatie kan meenemen in het realiseren van effectieve informatiebeveiliging.

Diegene die de eigenaar is van en verantwoordelijk is voor een bedrijfsproces. Denk bijvoorbeeld aan een bestuurder of een proceseigenaar. De eigenaar van het proces is ook de (eind-) verantwoordelijke voor de beveiliging van dit proces.

Diegene die zich, in het kader van informatiebeveiliging, actief bezig houden met het analyseren van risico’s. Hij of zij adviseert de (eind-) verantwoordelijke over deze risico’s, heeft een sturende rol bij het identificeren van passende beheersmaatregelen en ondersteunt bij het implementeren van beheersmaatregelen.

Diegene die de effectiviteit van het risicomanagementproces en de algemene informatiebeveiliging controlleert en hierover rapporteert richting het bestuur. Deze rol kan belegd zijn als onafhankelijk onderdeel van de organisatie, of extern worden vervuld.

Los van de behoeftes van een organisatie verschillen de kwaliteiten die een CISO heeft. Een CISO kan bijvoorbeeld goed zijn in het behouden van de beveiligings-status-quo, het voldoen aan wet- en regelgeving, of juist sterk zijn in change management. Sommige CISO’s zijn sterk in de techniek, waar anderen sterk zijn in bestuurskundinge aspecten of stakeholdermanagement.

Om effectief te kunnen zijn moet jouw visie over het CISO-schap dan ook aansluiten bij de visie van het bestuur, de volwassenheid en de behoefte van de organisatie. Zorg ervoor dat je hier een goed beeld van krijgt. Dit doe je bij voorkeur al tijdens jouw sollicitatiegesprekken. Stel vragen om te achterhalen of er een match is tussen jou en de organisatie, zoals:

• Hoe belangrijk is informatiebeveiliging voor jou? En wat maakt dat zo belangrijk?
• Welke verwachtingen heb je voor mij in deze rol? Aan wie rapporteer ik?
• Op welke manier is digitale weerbaarheid ingebed in de organisatie? Hoe wordt hier op samengewerkt?
• Hoe ziet de security organisatie er uit? Uit wie bestaat het team en beschikt het team over een eigen budget?
• Is er een security roadmap? En zo nee, moet die er komen (en waarom, volgens jou)?
• Wat zijn de belangrijkste doelstellingen van de organisatie waar ik een bijdrage aan kan leveren? Welke grote veranderingen komen er aan voor de organisatie?

Afhankelijk van de antwoorden die jij krijgt bij deze vragen kan je een beeld schetsen bij de belangrijkste uitdagingen van de organisatie en of jij de rol passend en naar verwachting in kan vullen.

Ga het gesprek aan met de medewerkers. Gebruik hiervoor bijvoorbeeld een lijstje namen dat je hebt meegekregen vanuit het bestuur. Onderzoek welke rol zij hebben in de organisatie en hoe zij hun rol zien ten aanzien van digitale weerbaarheid. Probeer raakvlakken te vinden waar je samen vanuit kan werken. Stel vragen als:

• Waar maak jij je zorgen over? Wat is volgens jou belangrijk voor onze organisatie? 
• Wat houdt je nu bezig en welke uitdagingen heb je in jouw werk?
• Hoe kijk jij naar informatiebeveiliging? Hoe zie jij jouw rol ten aanzien van informatiebeveiliging en deel je de mening dat jij hier een rol in hebt?
• Wat vind jij dat er goed gaat (t.a.v. informatiebeveiliging)? Doen we de juiste dingen? En zijn er dingen die er beter kunnen?
• Waar loop je tegenaan (t.a.v.  informatiebeveiliging) en hoe kan ik je helpen om jouw werk gemakkelijker te maken?

Wil je meer weten over het in kaart brengen van datgene dat jouw organisatie wil beschermen? Lees dan ook de publicatie: Hoe breng ik mijn te beschermen belangen in kaart?

Uiteindelijk is het belangrijk om een netwerk op te bouwen zodat jij grip krijgt op het wel en wee van de organisatie. Vraag aan het einde van (kennismakings-) gesprekken ‘wie zou ik nog meer moeten spreken?’ om stapsgewijs de organisatie te leren kennen. Ga vooral ook het gesprek aan met diegene die informatiebeveiliging ervaren als hinderlijk of lastig. Zij kunnen je wijzen op drempels die je mogelijk weg kan of moet halen om effectief te zijn.

Organiseer interactieve sessies met verschillende afdelingen waarbij je het belang van informatiebeveiliging benadrukt. Overweeg een realistische demonstratie te geven, die aansluit bij de dagelijkse praktijk van jouw toehoorders, om het belang van beveiliging te laten zien. Gebruik deze sessies voor het creëren voor bewustwording, maar zoek vooral naar de behoeftes van verschillende afdelingen.

Consulteer GRC (Governance, Risk, Compliance) tooling, risico-registers, en eerder uitgevoerde assessment/audits om grip te krijgen op de huidige weerbaarheid en inrichting van de organisatie. Is er bijvoorbeeld een security roadmap? Zijn er eerder problemen geconstateerd, of afspraken gemaakt over rapporteren en verantwoordelijkheden?

Het nemen van beveiligingsmaatregelen leidt niet altijd tot een verbetering van de beveiliging van de organisatie. Maak vooraf duidelijk welk effect je wilt bereiken en stel goede KPI's op om dit effect te kunnen meten.

Maak veranderingen in een meerdere kleine stappen om de organisatie hier stapsgewijs in mee te nemen. Op deze manier waarborg je dat de organisatie tijd heeft om veranderingen te absorberen en dat informatiebeveiliging niet als een grote last wordt ervaren.

Afhankelijk van jouw visie en de behoefte van de organisatie zal je de voorkeur hebben om bepaalde stappen eerst te nemen. Prioriteer deze op basis van de meest urgente risico’s, zodat je gericht kan sturen op de meest effectieve maatregelen.

Niet alle veranderingen die jij wilt doorvoeren zullen op evenveel draagvlak kunnen rekenen. Wanneer er aandacht is voor bepaalde ontwikkelingen – zoals een groot (intern of extern) beveiligingsincident, of een verandertraject, kan het momentum wat hierdoor wordt gecreëerd gebruikt worden voor verbetering van de informatiebeveiliging.

Digitale beveiliging is voor veel mensen een ver-van-je-bed-show is, of kan worden ervaren als een ‘last’. Redeneer vanuit de visie dat informatiebeveiliging de bedrijfsvoering moet dienen.  Als je iets van anderen verwacht, help ze dan ook omdat mogelijk te maken. Neem een onderzoekende houding aan en kom tot een passende oplossing die aansluit bij de manier van werken van jouw organisatie.

Om een vinger aan de pols te houden is het verstandig om periodiek af te stemmen met jouw (belangrijkste) stakeholders. Denk bijvoorbeeld aan informatieve gesprekken met bestuurders en overige risico-eigenaren, maar ook overleggen waar besluiten worden genomen.

Effectieve informatiebeveiliging vereist dat het voor iedereen duidelijk is wie waarvoor verantwoordelijk en bevoegd is. Overweeg het gebruik van het RA(S)CI model. Met dit model beschrijf je per beheersmaatregel: wie er verantwoordelijk (R) en aansprakelijk (A) is, wie er ondersteuning (S) biedt of geraadpleegd (C) wordt, en hierover geinformeerd (I) dient te worden. Door een dergelijke tabel op te stellen houdt jouw organisatie grip op de verantwoordelijkheden ten aanzien van informatiebeveiliging.

Verschillende stakeholders zullen behoefte hebben aan (periodieke) rapportages rondom de beveiliging van de organisatie. Spreek af op welke manier en met welke frequentie er gerapporteerd wordt. Bespreek wat de belangrijkste behoefte is van jouw stakeholders en betrek ze bij het opstellen van passende en haalbare KPI’s.

Idealiter worden afspraken nagekomen en kan jij als CISO een passende oplossing vinden met de betreffende risico-eigenaar. Helaas kan het gebeuren dat jullie er niet uitkomen. Bijvoorbeeld als beoogde beveiligingsmaatregelen ervaren worden als een te zware belasting op de bedrijfsvoering. In dat geval is het belangrijk om afspraken te hebben over hoe een dergelijk probleem op hoger niveau beslecht kan worden. Maak duidelijk onder welke omstandigheden een dergelijke opschaling moet en kan plaatsvinden en hoe dat proces eruit ziet, zodat de organisatie profiteert van tijdige besluitvorming.