Afgelopen maand hebben wij een poll gedeeld op LinkedIn (395 stemmen) en Twitter (55 stemmen). Hierin vroegen wij wie uiteindelijk verantwoordelijk zou moeten zijn voor informatiebeveiliging. Bij deze vraag stonden vier antwoordopties: a) Directie, b) CISO, c) FG en d) IT-manager. In een serie van twee blogs wil ik ingaan op de uitkomsten van deze resultaten, en mijn analytische zoektocht naar het juiste antwoord.
De stemmen zijn geteld en de uitkomst is:
Een overweldigende meerderheid gaf aan dat de directie verantwoordelijk zou moeten zijn. Mijns inziens is dit het enige juiste antwoord op de vraag, maar toch is dit in de praktijk niet altijd terug te zien. Ondanks dat voor de meerderheid in ons netwerk wellicht al duidelijk is dat de directie uiteindelijk verantwoordelijk is voor informatiebeveiliging, wil ik deze vraag toch op een analytische wijze beantwoorden.
Een belangrijke noot is dat er wordt gevraagd naar wie ‘uiteindelijk’ verantwoordelijk is. Om de verantwoordelijkheidsvraag helder te krijgen, wil ik het RASCI-model uitlichten. Dit model bestaat uit vijf verantwoordelijkheden:
Aan de hand van het RASCI-model kunnen we bepalen dat wordt gevraagd wie ‘accountable’ is. Dit zal leiden tot een ander antwoord dan wanneer wordt gevraagd wie verantwoordelijk (responsible) is. Om de vraag te beantwoorden wie eindverantwoordelijk is voor informatiebeveiliging kijken we naar de ISO 27001 en de NEN 7510. De ISO 27001/NEN 7510 zijn standaarden voor een ‘Information Security Management System’ (ISMS).
Wanneer een organisatie een ISMS conform een van deze standaarden inricht, komt zij in aanmerking voor certificering. Certificering kan leiden tot talloze voordelen, omdat je aantoonbaar in control bent van informatiebeveiliging, waaronder een nieuwe aanwas van klanten. Daarnaast kan certificering verplicht zijn vanuit leveranciers, of vanuit overheidsinstellingen om, bijvoorbeeld, in aanmerking te komen voor subsidies.
Niet alleen organisaties die een certificering ambiëren, hebben baat bij een juiste inrichting van een ISMS. Ook andere organisaties kunnen hiervan profiteren. Bovendien dwingt de AVG organisaties om voldoende technische en organisatorische beveiligingsmaatregelen te nemen. Met de implementatie van een ISMS zet je hiervoor belangrijke stappen. De inrichting van een ISMS hoeft niet te betekenen dat je direct moet overgaan tot certificering van de ISO 27001/NEN 7510. Een dergelijke certificering vraagt namelijk meer van organisaties dan het enkel inrichten van een ISMS. Zo moet bijvoorbeeld ook een interne audit zijn uitgevoerd. Hoe de implementatie van het ISMS er in zijn volledigheid uitziet valt buiten de scope van dit artikel, maar ik wil wel graag inzoomen op de onderdelen die zien op het stukje leiderschap om de vraag die voorhanden ligt te beantwoorden.
In hoofdstuk 5 van de ISO 27001/NEN 7510 komen harde vereisten terug voor leiderschap. In het kort:
In hoofdstuk 9.3 wordt de directie op nog een verantwoordelijkheid gewezen. Ze moet namelijk het ISMS met geplande tussenpozen beoordelen om de continue geschiktheid, toereikendheid en de doeltreffendheid van het ISMS te waarborgen.
Aan de hand van bovenstaande vereisten is het niet onlogisch om te concluderen dat de directie eindverantwoordelijk (accountable) is voor informatiebeveiliging. Wat er ook gebeurt in de lagen daaronder, de directie is hiervoor verantwoordelijk. Een vraag waar ik me nu niet aan wil wagen is of directieleden persoonlijk aansprakelijk zijn als de informatiebeveiliging niet op orde is, maar ik kan me voorstellen dat dergelijke scenario’s bestaan.
De directie zal hoogstwaarschijnlijk de verantwoordelijkheden van informatiebeveiliging (in bepaalde mate) delegeren. Een rol die daar vaak voor wordt gebruikt is de CISO of de (I)SO. Het gebruik van deze rol kan echter verwarrend zijn, omdat de CISO vaak wel de verantwoordelijkheden krijgt van informatiebeveiliging, maar niet de invloed om het werk effectief te verrichten. In een ideale situatie heeft de CISO wel voldoende bevoegdheden, de CISO zou dan verantwoordelijk zijn (responsible). Wanneer de CISO een directiefunctie betreft, dan is er misschien eerder sprake van gedelegeerde eindverantwoordelijkheid (accountable) vanuit de directie aan de CISO.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.