Steun en betrokkenheid van het management

Gefeliciteerd, je hebt het einde van de quickscan gehaald…tenzij je natuurlijk je geduld niet op de proef wilde stellen en direct na de eerste stap de quicskscan op de site hebt ingevuld. Dan zal het je ook niet verbazen wat deze tiende en laatste vraag is. Het mag dan wel de (voorlopig) laatste vraag zijn, toch is het niet de minst belangrijke. Laten we er niet verder omheen draaien en aan de slag gaan.

De tiende vraag die we moeten stellen is:
Is er zichtbare steun en betrokkenheid van het (top)management voor integrale beveiliging en geeft het management het goede voorbeeld?

En het antwoord? Ja, nee of weten we het eigenlijk niet?

Als je, als verantwoordelijke voor de informatiebeveiliging, door het (top)management geconfronteerd wordt met de uitspraak: “prima beveiligingsmaatregelen, maar ze gelden natuurlijk niet voor mij.” Dan heb je een serieus probleem te pakken. Je zult de informatiebeveiliging dan ook nooit goed van de grond krijgen en loopt zelfs het risico dat je er door de frustratie aan onder door gaat.

Maar als je de tien stappen uit deze quickscan volledig doorlopen hebt en je het management mee hebt genomen in je zoektocht dan zou er toch al een vorm van steun en betrokkenheid moeten zijn ontstaan. Als je dus bij deze stap bent aangekomen en die steun is er nog niet dan moeten we teruggrijpen op de eerdere vragen. Daar zullen we de tien stappen dan ook maar mee afsluiten, vind je niet?

  1. Heb je het beveiligingsbeleid wel laten bekrachtigen door het (top)management en sluiten de doelstellingen van beveiliging wel aan bij de organisatiedoelstellingen?
  2. Is het (top)management ook beschreven in de organisatiebeschrijving en zijn aan hen ook taken, bevoegdheden en verantwoordelijkheden toegewezen?
  3. Worden de genomen beveiligingsmaatregelen wel periodiek en onafhankelijk beoordeeld en komen deze auditrapportages wel bij het (top)management aan?
  4. Heb je gebruik gemaakt van normen, best practices en richtlijnen uit de branch die logisch in elkaar zitten en goed aansluiten bij de beeldvorming van het (top)management?
  5. Is het risicomanagement framework goed opgezet en heeft het (top)management dat geaccordeerd?
  6. Heb je het beveiligingsbewustwordingsprogramma niet alleen gericht op de medewerkers maar heb je ook een speciaal programma voor het (top)management waarbij ze risicobewust gemaakt worden?
  7. Is inzichtelijk gemaakt welke risico’s de continuïteit van de organisatie kunnen bedreigen en heeft het (top)management de restrisico’s formeel geaccepteerd?
  8. Is er een overzicht opgesteld van kritische bedrijfsprocessen en gegevens en is het (top)management het wel met dit overzicht eens?
  9. Is het (top)management zich wel bewust van de mogelijke gevolgen van het niet voldoen aan wet- en regelgeving?

Heb je na de 10 stappen en na de 9 controlevragen nog steeds geen steun van het management? Dan is het wellicht de moeite waard om je positie binnen de organisatie nog eens tegen het licht aan te houden. Als er echt geen behoefte is, waarom is je functie er dan? Waarom zouden ze er dan wat aan doen? Maar, eerlijk is eerlijk, als we het op de juiste wijze aanpakken en reëel blijven dan is er geen (top)manager die willens en wetens niets aan informatiebeveiliging doet. Heb jij toevallig die ene manager die dat wel doet getroffen? Maak je geen zorgen, binnenkort staat hij in de krant en voor het groene bankje.

Zo zijn we aan het eind gekomen van een 10daagse reis, hopelijk kun je de inspanning waarderen en kun je een of meer van de stappen in de dagelijkse praktijk goed gebruiken. Uiteraard ben ik reuze benieuwd naar je reactie op de tien stappen en hoor ik graag van je.

Oh ja, voor de laatste keer en voor het geval je de eerdere stappen toch liever overzichtlijk bij elkaar hebt, je kunt de quickscan nog steeds zelf doorlopen door hier te klikken of door me snel uit te nodigen voor die bak koffie. Uiteraard is deze scan ook beschikbaar voor mensen die mijn blog de afgelopen 10 dagen niet gevolgd hebben.