Voor goede aandacht voor security binnen een organisatie ben ik er van overtuigd dat de CEO, de CIO en de CSO intensief moeten samenwerken. Todd Fitzgerald heeft daar een goed artikel over geschreven in 2007. Ondanks dat security zich in snel tempo aanpast aan de ontwikkelingen op het gebied van cybersecurity blijft datgene wat Todd Fitzgerald beschrijft van waarde.
Het spreekt me erg aan juist omdat het uitgaat van een gedeelde verantwoordelijkheid waarbij de betrokkenen elkaar moeten vinden en begrijpen. En dat is vaak niet het geval in een (hiërarchische) organisatie.
Het vorige artikel zoomde in op de vragen die de CEO aan de CSO kan stellen voor een betere samenwerking. Onderstaand zijn de vragen weergegeven die de CIO aan de CSO kan stellen.
- Welke inspanning is er minimaal nodig om veilige software te ontwikkelen?
- Wat moeten we doen om audit issues te voorkomen in de softwareontwikkeling, zonder significante kosten of vertragingen op te lopen bij onze IT-projecten?
- Hoe zie jij jouw rol, als reviewer van geïmplementeerde securitymaatregelen of als promoter vóór de implementatie?
- Welke technologieën zijn er beschikbaar om het arbeidsintensieve aspect van patch management, vulnerability management, configuration management en compliance monitoring te verminderen?
- Kun je nuttige informatie over reële risico’s in onze branche en alternatieve tegenmaatregelen die organisaties gebruiken opleveren?
- Hoe kunnen we verzekeren dat we aan minder risico’s blootstaan, zodanig dat we op een acceptabel risiconiveau zitten?
- Welk tastbaar voordeel bieden de investeringen in security om de business mogelijk te maken?
- Welke interne en/of externe audit issues worden verholpen door de investeringen in security?
- Welke IT-resources zijn nodig, in aanvulling op security medewerkers, om de security oplossing te kunnen implementeren? Welke ondersteuning van de business hebben we nodig?
- Hoe integreren we de security eisen in het software ontwikkelingsproces? Voeren we die taken al uit?
- Hebben we alle noodzakelijke kennis en ervaring in huis om deze security oplossing te implementeren? Moeten we wellicht overwegen om enkele van de functies uit te besteden?
- Wat zijn de kritieke succesfactoren voor succesvol beveiligen van de IT-infrastructuur? Hoeveel is genoeg?
- Hoe kun jij me helpen om mijn tijd en inspanning, met betrekking tot compliance activiteiten, te reduceren?
Er zijn natuurlijk veel vragen te bedenken. Het komt er op neer dat verantwoordelijke mensen binnen de organisatie zich er van bewust zijn dat ze die gedeelde verantwoordelijkheid hebben. Je kunt hier natuurlijk vanuit vele invalshoeken je licht op laten schijnen (leiderschap of onderhandelen). Maar dat gaat te ver voor dit artikel.
Zie jij binnen jouw organisatie hoe de drie (CEO,CIO en CEO) samenwerken op het gebied van security? Of zie jij geheel andere positieve verbanden waardoor security juist goed georganiseerd is? Dat is interessant. Laat het me weten!
Blijf alert! Je hebt het laatste artikel over de triade nog van me te goed. Heb je opmerkingen, of wil je bepaalde onderwerpen terugzien? Laat het me dan weten. Reageer!
Geen opmerkingen:
Een reactie posten