dinsdag 3 april 2012

Security organiseren - de triade

ISO 27001 is dé richtlijn voor het inrichten van een Information Security Management Systeem.  Voordat een dergelijk ISMS gerealiseerd is moet er vanzelfsprekend een berg werk worden verzet. Gedurende het implementeren van alle documenten, processen en technologie neemt het bewustzijn voor security in de hele organisatie toe. Men wordt alert en er ontstaat een mindset voor risicomanagement.


Als eenmaal het ISMS werkt blijft het de vraag of de hele organisatie zo scherp blijft? De 'practical drift' maakt dat na verloop van tijd de aandacht verloren gaat en in feite het risicoprofiel van de organisatie geleidelijk toeneemt. 


Hoe voorkom je dit? 


Hierover is in 2007 een pakkend artikel geschreven door Todd Fitzgerald van de Taylor Francis Group. Het spreekt me aan omdat hij ingaat op de rollen van enkele sleutelfiguren in de organisatie:

  • De CEO moet als bestuurder het belang inzien van security en datzelfde belang uitdragen naar alle medewerkers.
  • De CIO is verantwoordelijk voor veilige IT, waarvan de business alleen maar nog meer afhankelijk wordt de komende jaren. 
  • De CSO is veelal verantwoordelijk gemaakt voor de organisatiebrede security. Maar hij kan met gebrek aan budget en bevoegdheden niet zonder de andere twee. 

Het komt dan ook aan op een sterk verbond tussen de directie (CEO), de IT-Manager (CIO) en de Security Manager (CSO). Deze triade brengt, door het stellen van de juiste vragen, security op een hoger plan binnen de organisatie. Onderstaand zie je enkele voorbeelden van vragen die de CEO aan de CSO kan stellen. 

  • Hoe reduceert deze investering in security de bedrijfsrisico’s die we als organisatie lopen?
  • Hoe voorkomt de investering dat de naam negatief in de publiciteit komt?
  • Hoe draagt de investering bij aan de kwaliteit van ons stelsel van controle- en beheersmaatregelen, zodat ik (de CEO) er zeker van ben dat we alle beschreven bedrijfsactiviteiten en –processen eenduidig uitvoeren?
  • Voldoen onze securitymaatregelen aan alle relevante wet- & regelgeving?
  • Hoeveel investeren onze concurrenten in security?
  • Hoe ondersteunt deze investering in security onze belangrijkste dienstverlening en/of producten?
  • Reduceren deze investeringen het aantal lopende audit issues?
  • Bestaat er goedkeuring van andere directieleden voor deze investering in security?
  • Kunnen we hetzelfde resultaat bereiken tegen lagere kosten, door bijvoorbeeld een externe security consultant in te huren of een deel van de security taken uit te besteden?
  • Vraagt de investering instemming en support voor meerdere jaren?
  • Is er op korte termijn al return-on-investment te realiseren door gefaseerde invoering van de securitymaatregelen?
  • Welke resources zijn er allemaal voor nodig om de securitymaatregelen in te kunnen voeren?
  • In welke mate zijn de betreffende security technologieën al geadopteerd door de markt? Zijn wij de early-adopter (hoog risico) of heeft de hele branche het al in gebruik?
  • Hebben we zelf alle expertise en ervaring aan boord, of hebben we externe kennis nodig om tegen een acceptabel risico de securitymaatregelen in te voeren?


Als CSO zul je dus duidelijke antwoorden moeten kunnen geven op de bovenstaande vragen. Vooropgesteld dat de CEO de tijd neemt om deze vragen te stellen! 

Volgende keer zal ik ingaan op de vragen die de CIO aan de CSO kan stellen. 

Blijf dus alert! Volg de ontwikkelingen en geef je op om per email op de hoogte te blijven. 

Gepost door op

Geen opmerkingen:

Een reactie posten

Abonneren op: Reacties posten (Atom)