Verantwoordelijkheid voor informatiesystemen

Zoals we inmiddels weten wordt voor de beveiliging van de bedrijfsprocessen gekeken naar de ondersteunende informatie, het materieel en het personeel. Voor de informatie wordt de digitale informatie in de informatiesystemen steeds belangrijker (soms overschatten we dat belang trouwens want wat is er mis met het schrijven van een brief, het plakken van een postzegel en het dichtlikken van een envelop als de email het niet meer doet?). En hoewel ik informatiesystemen graag breder zie dan alleen de digitale systemen (terugkomend op de geschreven brief…een postvak is in die zin ook onderdeel van een informatiesysteem) worden die digitale systemen belangrijker en belangrijker.

De vraag die we ons moeten gaan stellen is:
Zijn alle informatiesystemen toegewezen aan een verantwoordelijke?

Laten we maar direct onderkennen dat we de verantwoordelijkheid voor informatiesystemen echt niet alleen voor de beveiliging van dat systeem willen beleggen. Nee, beveiliging is nog steeds ondersteunend en er zijn andere redenen waarom we dat informatiesysteem in leven houden (althans: ik hoop dat die redenen er zijn want anders kunnen we ze beter uitzetten). Alleen al omdat het informatiesysteem een bijdrage levert aan het voortbestaan van de organisatie willen we dat het systeem zo goed mogelijk gemanaged wordt.

Als we dan toch al iemand aan hebben gewezen die verantwoordelijk is, dan is het nog een klein kunstje om hem of haar ook duidelijk te maken wat de taken, bevoegdheden en verantwoordelijkheden op het gebied van de beveiliging van dat informatiesysteem zijn. Op papier allemaal niet zo ingewikkeld maar laten we vooral die taken, bevoegdheden en verantwoordelijkheden niet zomaar over de schutting gooien.

Formeel is de verantwoordelijke ook verantwoordelijk voor de beveiliging, want beveiliging was immers een lijnverantwoordelijkheid. Maar laten we diegene daarin watertrappelen dan is de kans groot dat beveiliging het ondergeschoven kindje wordt. Nee, het is de taak van de security manager om de kaders te ontwikkelen, de formats, de standaarden, de richtlijnen en vooral ook om een luisterend oor te zijn voor de organisatie.

We kunnen het niet genoeg benadrukken: beveiliging moet het werken niet lastiger maken dan nodig, nee we moeten keuzes maken over het niveau van beveiliging…en die keuzes worden toch echt gemaakt door degene die we verantwoordelijk maken voor de informatiesystemen. Zijn wij het vanuit de beveiligingsoptiek het niet eens met de gemaakte keuzes dan gaan we eerst in overleg, leggen onze beweegredenen uit en laten eventueel een hoger echelon de definitieve hamerklap geven.

De kritische bedrijfsprocessen (en objecten)

Voor dat we verder gaan is het goed om even in te zoomen op de kritische bedrijfsprocessen en de kritische objecten. We moeten immers wel de juiste zaken beschermen omdat we anders alsnog uit het veld kunnen worden geslagen. Niet geheel verrassend is de volgende vraag dan ook:

Zijn de kritische bedrijfsprocessen (en bedrijfsobjecten) van de organisatie inzichtelijk?

Hanteren we een top-down benadering op het gebied van integrale beveiliging dan moeten we ook redeneren vanuit de kritische bedrijfsprocessen die zo zijn ingericht dat we de doelstellingen van de organisatie (in termen van winst of omzet) kunnen realiseren. Omdat we geen oneindig beveiligingsbudget voor handen hebben moeten we goed kijken naar de wijze waarop we het budget inzetten. Daarbij moeten we natuurlijk die zaken als eerste aanpakken die voor het voortbestaan van onze organisatie van groot belang zijn. Oh ja, nog even voor de zekerheid: we implementeren geen maatregelen maar kijken natuurlijk eerst naar de operationele risico’s.

Nogal logisch is het kritische bedrijfsproces het primaire proces, maar was het maar zo eenvoudig. Veel organisaties hebben meerdere primaire processen. Kortweg: de processen waar we ons geld mee verdienen. Maar ja, die processen staan niet op zich en worden weer ondersteund door de secundaire processen. Kortweg: de processen die ons geld kosten. Het kan dus best zijn dat een secundair proces van groot belang is voor het voortbestaan van onze organisatie. Daarom moeten we dus niet alleen kijken naar de primaire processen maar juist ook naar de secundaire.

We gaan het nog een stukje ingewikkelder maken, ben ik bang. Een proces op zicht is niets, dat is slechts de term die we ergens aan hangen (ja, ja procesdeskundigen zullen het misschien anders omschrijven, sorry in dat geval). Processen worden ondersteund door informatie (geautomatiseerd en niet geautomatiseerd), assets (of materieel) en personen. Je kunt er allerlei definities aan hangen maar dat is op zich niet zo van belang. Het gaat hier om de uitgangspunten.

Willen we dus de kritische bedrijfsprocessen beveiligen dan kijken we nu naar de primaire en secundaire processen maar ook naar de informatie, assets en het personeel dat voor de uitvoering van die processen van belang is.

Het klinkt misschien allemaal ingewikkeld en niet zozeer als een taak die de Security Manager uit moet voeren om zijn of haar werk te kunnen doen. Toch zou het theoretisch allemaal wel mee moeten vallen. Als het goed is zijn de kritische bedrijfsprocessen en ondersteunende middelen namelijk al inzichtelijk. Hoe bestuurt de directie anders de organisatie?

We hoeven hiervoor dus misschien niet eens zelf de kritische bedrijfsprocessen inzichtelijk te maken maar kunnen misschien wel gebruik maken van de gegevens die in het kader van kwaliteitsmanagement of IT al eens inzichtelijk zijn gemaakt. Voordat we dus deze lastige oefening zelf uit gaan voeren moeten we eerst even op zoek wat er allemaal al beschikbaar is.

In een volwassen organisatie is al veel beschikbaar en op basis daarvan kunnen we ook een volwassen aanpak van beveiliging inrichten. Is de organisatie in zijn totaliteit nog niet zo ver dan moeten we ook even goed beseffen dat de beveiliging wel aan moet sluiten bij de volwassenheid van de totale organisatie.

Kijken we naar bijvoorbeeld de Capability Maturity Modellen (CMM) en komen we met de gehele organisatie op level 2 uit, dan heeft het nu nog niet zoveel zin om de beveiliging op level 4 of 5 in te richten (als we dat al ooit willen en kunnen bereiken). Sluit aan bij het volwassenheidsniveau van de organisatie en groei daar mee mee. Dan zijn we geen vreemde eend in de bijt en begrijpt iedereen ook waar we mee bezig zijn en waarom we dat doen.