Jul 21, 2020 — Over eigenaarschap en verantwoordelijkheden. Factsheet FS-2020 | versie 1.0 | 9 juli 2020. Page 2. Wat is
282 KB – 6 Pages
PAGE – 1 ============
Incidenten met belangrijke en/of gevoelige informatie kunnen een serieuze impact hebben op de organisatiedoelen. De directie is om die reden eindverantwoordelijke voor een goede omgang met de risico™s rondom informatie. Lijnmanagers zijn verantwoor -delijk voor de tactische en operationele risico™s rondom de informatie die binnen hun afdeling verwerkt wordt. Om risico™s te kunnen beheersen, is het noodzakelijk dat ze op een zorgvuldige manier inzichtelijk worden gemaakt en beoordeeld. Zicht en grip op de risico™s rondom informatie vereisen zicht en grip op de informatie zelf. Zorg daarom dat ook het eigenaarschap van de informatie zelf en de bijbehorende verantwoordelijkheden goed zijn ingericht. Achtergrond In deze informatiegestuurde samenleving verwerken we een hoop informatie. Hoewel we in veel gevallen a˜ankelijk zijn van deze informatie, kan het voor uw organisatie of voor anderen ook de nodige risico™s opleveren. Sommige risico™s bieden kansen, andere risico™s kunnen leiden tot vervelende incidenten. Dit laatste soort risico™s moet beheerst worden. Hoe belangrijker of gevoeliger de informatie of hoe groter de gevolgen van een incident, des te groter de noodzaak om dit soort risico™s rond informatie te beheersen. Doelgroep Deze factsheet richt zich op de directie, het bestuur, het manage -ment en de CISO van organisaties die zicht en grip willen krijgen op de risico™s die horen bij het werken met informatie. Aan deze factsheet hebben bijgedragen Brabantse waterschappen, CISO Masterclass BV, Digital Trust Center (EZK), Hoogheemraadschap van Rijnland, NBV van de AIVD en Octopus-IB. Risico™s beheersen: de waarde van informatie als uitgangspunt. Over eigenaarschap en verantwoordelijkheden. Factsheet FS-2020 | versie 1.0 | 9 juli 2020
PAGE – 2 ============
Wat is er aan de hand? Organisaties zijn a˜ankelijk van informatie voor het uitvoeren van hun kernactiviteiten. Ze zijn zich alleen niet altijd voldoende bewust van wat die informatie waard is voor henzelf, maar ook zeker voor kwaadwillenden. Gebrek aan dit inzicht zorgt ervoor dat organisaties te weinig aandacht hebben voor het kennen en beheersen van de risico™s die ontstaan bij het werken met hun informatie. Managers hebben een verantwoordelijkheid voor de beschikbaar -heid, integriteit en vertrouwelijkheid van informatie in hun processen. Ze zullen, hoe dan ook, de gevolgen ondervinden van incidenten met hun informatie. Echter, ze geven niet altijd de juiste invulling aan deze verantwoordelijkheid. In deze factsheet wordt gesproken over ‚directie™. Daarmee wordt het hoogste bestuursorgaan in een organisatie mee bedoeld. Dit kan voor uw organisatie anders heten. Voor het leesgemak wordt de term ‚directie™ aangehouden. Hoe risicomanagement het beste ingericht kan worden, is voor iedere organisatie anders. Neem de boodschap mee over het inrichten van het eigenaarschap van informatie en de bijbehorende risico™s en het vaststellen van de verantwoordelijkheden daarbij, maar vul de details vooral anders in daar waar wenselijk of noodzakelijk .Wat is het probleem? De afgelopen decenia is de hoeveelheid informatie die we verwerken enorm toegenomen. Door de mogelijkheden die ICT-middelen bieden, zijn we ook meer informatie aan elkaar gaan koppelen. Hierdoor is de informatieverwerking ook complexer geworden. Deze twee ontwikkelingen zorgen voor extra uitdagingen bij het beheer van informatie. Echter, onze aandacht voor het beheer van informatie is achtergebleven bij de groei in omvang, complexiteit en het belang van die informatie. Het gebruik van ICT-middelen maakt het krijgen van zicht op informatie lastig. Van een hangmappenkast of archiefruimte is door iedereen te bepalen hoeveel informatie daarin opgeslagen ligt en wat waar ligt. Om datzelfde te kunnen bepalen van een ICT- systeem, is ICT-kennis nodig, wat bij velen niet aanwezig is. Bevindt dat ICT-systeem zich in de cloud, dan wordt het achterhalen van wat waar ligt nog complexer. Informatie en ICT zijn tegenwoordig onlosmakelijk verbonden. Vroeger waren de middelen om informatie vast te leggen (type -machine, drukker, papier, binding, et cetera) eenvoudiger en stelden we daar niet bijzonder veel eisen aan. Vandaag de dag is dat anders. ICT-middelen moeten sneller, gebruiksvriendelijker, mooier en draagbaarder zijn. Ze moeten ook meer functionaliteiten beva˚en en zijn continue aanwezig. Onze aandacht gaat dus veel meer dan vroeger uit naar het middel. Informatie is hierdoor geen zelfstandig ding meer, maar is onderdeel geworden van het middel. Het beperkte zicht op informatie en een grote aandacht voor het middel zien we ook terug in de informatiebeveiliging. We richten ons op technische beveiligingsmiddelen en de technische kant van digitale aanvallen, maar richten ons te weinig op de waarde en het belang van onze informatie. Eerst zal worden ingegaan op het verkrijgen van zicht en grip op informatie, gevolgd door het verkrijgen van zicht en grip op de risico™s rondom die informatie. Hoe krijgt u zicht en grip op informatie? Om zicht en grip te krijgen op de risico™s rondom informatie, moet u eerst zicht en grip krijgen op de informatie zelf. Inzien dat informatie, net als bijvoorbeeld personeel, de voorraad en de ˛nanciën, een bedrijfsmiddel is dat actief beheer nodig hee˝, helpt daarbij. Omdat informatie door de gehele organisatie wordt gebruikt, moet de gehele organisatie worden meegenomen in de aanpak. In de aanpak zijn de volgende stappen te onderkennen. Rol van de directie Voor een werkende en blijvende aanpak, is betrokkenheid van de directie randvoorwaardelijk. Een organisatie is net zo a˜ankelijk van informatie als van arbeid, kapitaal en natuur. De directie dient informatie als volwaardige productiefactor te besturen en dit uit te dragen naar de gehele organisatie. Eigenaarschap van informatie Om informatie goed te kunnen beheren, moet alle informatie een eigenaar hebben. Bij voorkeur is dat een expliciete eigenaar en niet een via het proceseigenaarschap afgeleide eigenaar. Informatie kan namelijk in meerdere processen gebruikt worden, gekopieerd worden, gekoppeld worden, et cetera. Dit kan onduidelijkheid gegeven over wie de daadwerkelijke eigenaar is. Zeker in het geval van een incident is het goed om daar direct duidelijkheid over te hebben. Lijnmanagers zijn de aangewezen personen om informatie-eigenaar te zijn. Zij geven dagelijkse leiding aan de organisatie, op de plekken waar het direct impact hee˝ als informatie niet betrouwbaar of beschikbaar is. Om goed beheer van informatie af te dwingen, rekent de directie informatie-eigenaren af op de invulling van hun verantwoordelijkheid .Iemand eigenaar maken van informatie, betekent niet automatisch dat diegene de juiste kennis hee˝ om die verantwoordelijkheid te kunnen dragen. Eigenaren behoren daarom, waar nodig, de juiste ondersteuning te krijgen vanuit de afdeling informatiemanagement. Informatiemanagement Goed beheer van informatie is een vak apart. De organisatie moet daarom beschikken over de juiste kennis van informatie- management. Vanuit informatiemanagement ˜ wordt toegezien en 1 Afhankelijk van de grootte van de organisatie, wordt dit ingevuld door een persoon of door een afdeling. Voor het leesgemak spreken we in deze factsheet over een afdeling.
PAGE – 3 ============
ondersteuning geboden op goed beheer van informatie. De afdeling informatiemanagement hee˝ dus geen zeggenschap over de informatie. Die verantwoordelijkheid ligt bij de informatie- eigenaren. Voor een goede afstemming van hoe binnen de organisatie met informatie omgegaan moet worden en wat van informatie-eigenaren precies verwacht wordt, hee˝ informatiemanagement directe toegang tot de directie en is er een met de directie afgestemd informatiebeleid. Ondanks dat informatie veelal met ICT verwerkt wordt, is informatie geen onderdeel van ICT. Informatiemanagement binnen de ICT-afdeling plaatsen is daarom geen verstandige aanpak. Informatie is een zelfstandig bedrijfsmiddel en informatie -management verdient daarom als een zelfstandige afdeling een ona˜ankelijke plek binnen de organisatie. De CFO onder de ICT-manager? Informatiebeheer bij de ICT-afdeling onderbrengen met als argument dat informatie uitsluitend via de computer verwerkt wordt, is geen goede aanpak. Met datzelfde argument kunt u ook de afdeling ˚nanciën onder de ICT-afdeling plaatsen. Immers, geldzaken doen we tegenwoordig ook bijna volledig met behulp van de computer. Zicht op de informatie Goed zicht hebben op informatie is noodzakelijk om deze te kunnen beheren. Voor het maken van een overzicht van de relevante informatie binnen een organisatie, zijn de primaire en andere belangrijke bedrijfsprocessen een goed uitgangspunt. De afdeling informatiemanagement is de aangewezen partij om het verkrijgen van inzicht in het informatielandschap te coördineren. Het inzichtelijk maken van informatie moet zich niet beperken tot informatie binnen de organisatie. Informatie waar de organisatie verantwoordelijk voor is, kan opgeslagen liggen bij externe partijen. Ook kan de organisatie in zekere mate a˜ankelijk zijn van informatie uit externe bronnen. Neem dit soort informatie mee in het overzicht. De Algemene Verordening Gegevensbescherming eist in artikel 30 dat de verwerkingsverantwoordelijke een register van verwer -kingsactiviteiten bijhoudt. In plaats van een register voor enkel en alleen de verwerking van persoonsgegevens, is het goed om te kijken naar een algemeen register voor alle relevante informatie en de bijbehorende verwerkingen, waarbij ‚persoonsgegeven™ slechts een eigenschap is van hetgeen daarin is vastgelegd. Zorg ervoor dat na het verkrijgen van zicht op de informatiehuis -houding, dit zicht ook behouden blij˝. Maak het behouden van dit zicht onderdeel van change management processen in de organisatie. Risicobewust gedrag Iedere medewerker moet zich bewust zijn van zijn of haar aandeel en medeverantwoordelijkheid in een zorgvuldige omgang met informatie. Dit geldt met name voor ICT-beheerders. Het werken met informatie gaat gepaard met duidelijke werkinstructies over wat wel en wat niet is toegestaan. Bij belangrijke of gevoelige informatie kan nagedacht worden over trainingen en of periodieke bewustzijncampagnes. Hoe krijgt u zicht en grip op risico™s? Nadat zicht en grip op informatie is verkregen, kan gewerkt worden aan het krijgen van zicht en grip op de beveiliging daarvan. Ook daarin zijn meerdere stappen te onderkennen .Rol van de directie De directie is eindverantwoordelijke voor wat er in de organisatie gebeurt. In het geval van een serieus incident met informatie waarbij de gevolgen tot buiten de organisatie reiken, zullen zij namelijk degenen zijn die door toezichthouders, de media, betrokkenen en/of andere belanghebbenden daarop worden aangesproken. Eigenaarschap van risico™s Omdat incidenten met belangrijke of gevoelige informatie de hele organisatie kunnen raken, is het zorgen voor een veilige en zorg -vuldige omgang met informatie een directieverantwoordelijkheid. De verantwoordelijkheid voor de uitvoering van de dagelijkse zorg hiervoor, kan de directie delegeren naar de informatie-eigenaren. Om een goed beheer van risico™s zeker te stellen, laat de directie zich door de informatie-eigenaren informeren over de invulling van hun verantwoordelijkheid en stuurt zij bij wanneer dat nodig is. Chief Information Security O˜cer Het beheersen van risico™s, en zeker rondom digitale informatie, is een vak apart. De informatie-eigenaren hebben daarom ondersteuning nodig van een expert, om op een goede manier invulling te kunnen geven aan hun verantwoordelijkheden hierin. Een Chief Information Security O˙cer (CISO) kan daarbij helpen. Een CISO hee˝ de volgende drie hoofdtaken: -Adviseren: Antwoord geven op vragen over informatiebeveiliging binnen de organisatie; -Coördineren: Verantwoordelijkheid over speci˛eke acties op het gebied van informatiebeveiliging, zoals bijvoorbeeld het beheren van het ISMS, het begeleiden van risicoanalyses, penetratietesten of awareness-campagnes en het bijhouden van een register voor beveiligingsincidenten; en -Controleren: Nagaan of de organisatie zich houdt aan de regels over informatiebeveiliging die door de directie zijn opgesteld en de directie hierover informeren. Hoewel in de praktijk de CISO regelmatig binnen de ICT-afdeling wordt gepositioneerd, is dit niet de ideale plaats, omdat dit dan leidt tot belangenverstrengeling met de ICT-manager. De CISO hee˝, net als informatiemanagement, een zelfstandige en ona˜ankelijke positie binnen de organisatie nodig, die directe
PAGE – 4 ============
toegang biedt tot de directie en het lijnmanagement. De CISO moet vrij kunnen rapporteren, zonder dat degene die verantwoordelijk is voor hetgeen waarover gerapporteerd wordt, daar tussen zit. Een ICT-afdeling die behoe˝e hee˝ aan een medewerker die zich speci˛ek op IT-beveiliging richt, kan gebruik maken van een IT security o˙cer, welke nauw samenwerkt met de CISO. Risico™s vinden en beheersen Hoe je risicomangement inricht en uitvoert, is aangegeven in de ISO 31000 norm en, speci˛ek voor informatiebeveiliging, in de ISO 27005 norm. ˛ In beide normen worden, naast een aantal algemene en randvoorwaardelijke zaken, de volgende stappen beschreven waarmee waarmee risico™s geïdenti˛ceerd, geanalyseerd, geëvalueerd en beheerst kunnen worden. 1: Risicoanalyse Risico™s kunnen worden geïdenti˛ceerd en geanalyseerd door middel van een risicoanalyse. Voor de uitvoering daarvan zijn verschillende aanpakken mogelijk. Van een pragmatische workshop tot aan gedetailleerd beschreven methodieken. Geen van deze aanpakken is goed of fout. De beste aanpak is er een die goed aansluit bij de behoe˝en van de organisatie en waar de organisatie zich pre˚ig bij voelt. Het is wel verstandig om uiteindelijk voor een vaste aanpak voor de gehele organisatie te kiezen, zodat resultaten van verschillende risicoanalyses met elkaar vergeleken kunnen worden en progressie door de tijd heen gemeten kan worden. De verantwoordelijkheid voor het identi˛ceren van de strategische risico™s ligt bij de directie en voor de tactische en operationele risico™s bij de informatie-eigenaren. De CISO kan deze processen faciliteren en ondersteunen, maar kan nooit de proceseigenaar zijn of dit proces zonder de directie of de informatie-eigenaar uitvoeren. Een CISO die zelfstandig risicoanalyses initiëert, kan mogelijk moeite ondervinden bij het neerleggen van de geïdenti˛ceerde risico™s bij de betreˆende eigenaar. Een risicoanalyse moet goed worden voorbereid. De facilitator van zo™n analyse moet goed thuis zijn in de de gekozen aanpak en de aanwezigen moeten goed op de hoogte te zijn van wat er gaat gebeuren en wat van hen verwacht wordt. Bij een sessie moet mininaal de informatie-eigenaar aanwezig zijn, aangevuld met de benodigde domein experts. Tijdens een risicoanalyse kan van een risico vastgesteld worden dat deze acceptabel is en dus geaccepteerd kan worden. Zorg ervoor dat bij de risicoanalyse iemand aanwezig is die gemachtigd is om risico™s te accepteren. Het is noodzakelijk om ook grip te hebben op de risico™s voor informatie van de organisatie die in handen is van externe partijen. Neem dit daarom mee in uw eigen risicoanalyse. Maak iemand 2 Er zijn meer publicaties die een beschrijving geven van risico- management. Echter, het bieden van een compleet overzicht daarvan vormt geen doel van deze factsheet .binnen de eigen organisatie verantwoordelijk voor die externe verwerking. Bepaal de vereiste zekerheid over de beveiliging van de informatie bij die externe partij op basis van de gevoeligheid van de informatie. Voor laag-gevoelige gegevens kan een vertrouwen in de externe partij voldoende zijn. Bij de hoger-gevoelige gegevens kan een directieverklaring wenselijk zijn. Bij nog gevoeligere gegevens kan gedacht worden aan een certi˛cering, zoals bijvoor -beeld ISO 27001 of ISAE3402. Let hierbij op een juiste scope van die certi˛cering. 2: Maatregelselectie Voor de geïdenti˛ceerde risico™s die niet (volledig) geaccepteerd worden, worden maatregelen gekozen. De CISO kan hierbij adviseren of ondersteunen. Sommige hulpmiddelen voor risicoanalyse bieden een geautomatiseerde maatregelselectie aan op basis van voor -gede˛niëerde risico™s. Een kritische kijk op deze selectie en het overwegen van andere maatregelen dan die in het hulpmiddel zi˚en, is daarbij verstandig. Risico™s waarderen we met kans impact. De kans wordt bepaald door alles wat bijdraagt aan het optreden van een incident en de impact bestaat uit alle gevolgen van een incident. Maatregelen kunnen kans-verlagend, impact-verlagend of beide zijn. Let daarom goed op of het eˆect van de maatregelen aansluit bij de gewenste aanpak van een risico. Zorg voor een goede afstemming van de maatregelen met de daardoor geraakte gebruikersgroep om de kans op shadow-IT te verlagen. Ga over maatregelen die op enige wijze of in enige mate conˇicterend kunnen zijn met de bedrijfsdoelen in gesprek met mensen die het juiste mandaat hebben om daar een beslissing over te kunnen nemen. 3: Implementatie van de maatregelen Een deel van de maatregelen om risico™s te verminderen, zal door andere afdelingen geïmplementeerd moeten worden, waaronder vaak de ICT-afdeling. Een maatregel kan dus een andere eigenaar hebben dan het risico waartegen de maatregel bedoeld is. Dit vraagt om het maken van goede afspraken over de implementatie en het beheer van de maatregelen door een andere afdeling en over het maken van wijzigingen in de maatregelen. Indien een organisatie niet werkt met een interne doorberekening, dan zijn de kosten voor de beveiligingsmaatregelen die doorgevoerd moeten worden, voor rekening van de afdeling die ze uitvoert. Een informatie-eigenaar is hierdoor mogelijk minder kritisch bij de selectie van een maatregel, wat mogelijk leidt tot meer maatregelen dan nodig is en daardoor tot onnodig hogere kosten. Een minder kritische informatie-eigenaar is mogelijk ook minder betrokken bij de implementatie van een maatregel, wat negatieve gevolgen kan hebben voor de eˆectiviteit van die maatregel.
282 KB – 6 Pages