Informatiebeveiliging is risicomanagement. De CISO gaat daarom het gesprek aan met de lijnmanagers of proces-verantwoordelijken om te bepalen welke technische en organisatorische maatregelen getroffen zijn of moeten worden om tot een risico te komen dat door hen geaccepteerd wordt.
Gaat het in uw gemeente anders? Best mogelijk, want verantwoordelijkheden binnen de beveiligingsorganisatie laten zich wel makkelijk omschrijven, maar het is veel moeilijker om ze ook daadwerkelijk te laten ‘ervaren’. Het is vaak lastig om de lijnmanagers hun rol als eigenaar van het risico te laten oppakken. Dat heeft te maken met de organisatiecultuur, de ongeschreven regels die de formele organisatie kunnen versterken of kunnen afzwakken.
Risicomanagement vereist dat er een probleemeigenaar is, die uiteindelijk de verantwoordelijkheid neemt voor het accepteren van het risico dat resteert na het treffen van beveiligingsmaatregelen. Wat als een manager zich niet verantwoordelijk voelt? Gaat de CISO dan voor diegene bepalen welke maatregelen getroffen moeten worden?
We zien in de praktijk vaak CISO’s een rol oppakken die in de eerste plaats anderen binnen de organisatie beter past. Bijvoorbeeld bij het verhogen van het beveiligingsbewustzijn in de organisatie. De verantwoordelijkheid hiervoor ligt eerder bij HRM/Personeelszaken dan bij de CISO, maar praktisch komt het toch vaak op het bord van de laatste te liggen.
Waarom is dat? Omdat die anderen niet doen wat op grond van formele afspraken van hen wordt verwacht? Of omdat de CISO de verwachting heeft dat er onvoldoende invulling wordt gegeven aan uw eigen opvatting hoe informatiebeveiliging geregeld zou moeten zijn?
Hoe dan ook, het is een valkuil om uzelf tot probleemeigenaar te benoemen. Dat versterkt de ongeschreven regel ‘als ik het niet doe, pakt een ander het wel op’. En het ondergraaft de formele regel dat een proceseigenaar eindverantwoordelijk is. Wees dus beducht op cultuuraspecten die er ongemerkt voor kunnen zorgen dat u verantwoordelijkheden overneemt. Uw taak als CISO: het management in staat stellen om hun verantwoordelijkheden goed geïnformeerd te nemen.