Vanuit de business wordt vaak gedacht dat het beheersen van risico’s in relatie tot cybersecurity en informatieveiligheid de verantwoordelijkheid is van de CISO of de security officers. Maar is dit nog wel haalbaar als je kijkt naar de toenemende digitalisering en de complexiteit van processen? Ik ben van mening dat deze verantwoordelijkheid een uitdaging is voor de hele organisatie.
“Organisaties in Nederland zijn zich bewust van de noodzaak van cybersecurity, maar vaak ontbreekt een goede verbinding tussen de bedrijfsvoering en het verkleinen van cyberrisico’s”. Dit is ook één van de conclusies uit het jaarlijkse PwC-onderzoek ‘Digital Trust Insights’. Dit is voor ons een hele herkenbare conclusie en biedt stof tot nadenken.”
In een vroeg stadium iedereen aan boord
Om als organisatie meer grip te krijgen is het allereerst belangrijk te weten waar de risico’s zitten. Het is vaak een worsteling om dit inzichtelijk te krijgen, maar geen onmogelijke opgave. Probeer in dit stadium de mensen uit de business mee te nemen en te betrekken. Achter het duiken van de verantwoordelijkheden en de “hakken in het zand” mentaliteit zit een best logische en gegronde reden. Want al die vinkjes, checks en balances kosten zeer veel tijd en moeite en sluiten een daadwerkelijk risico nooit volledig uit. Het verschil tussen de papieren werkelijkheid en de daadwerkelijke veiligheid kan verschillen. Leuk hoor alle hoofdstukken van de BIO op groen, maar als een hacker toch met je data aan de haal gaat, koop je er aan het eind van de rit weinig voor. Het belangrijkste is om de risico’s te beheersen. De beheersmaatregelen om dit te doen moeten geborgd worden, daar waar het risico plaatsvindt. Binnen de bedrijfsprocessen van de organisatie. De business moet hierin zijn verantwoording pakken. Zij zijn de eigenaar van de risico’s en moeten daarnaar gaan handelen. Het is aan de security organisatie dit te faciliteren. Wij noemen dit ook wel het decentraliseren van compliance. Het beleggen van de activiteiten daar waar de verantwoordelijkheid ligt.
De papieren tijger
Normenkaders lijken op het eerste oog zeer uitdagend door omvang en complexiteit, toch is het belangrijk om de papierentijger te temmen. Want wanneer je gestructureerd werkt aan informatieveiligheid leg je een goede basis om de risico’s te mitigeren. Daarnaast ben je als organisatie weerbaar wanneer het fout gaan. Je denkt na over mogelijke scenario’s, legt dat vast in processen en weet hoe te handelen “when shit hits the fan”. Daarnaast zal het helpen, wanneer je de papierentijger wilt temmen, om dat samen te doen met een ervaren business partner met de juiste tools. Aantoonbaarheid is daarbij leidend. Iets wat in ons Key Control Dashboard ISMS wordt geborgd. Wanneer je als organisatie veel tijd en energie steekt in het professionaliseren van informatiebeveiliging, is het wel zo handig om dat ook te kunnen aantonen!
