Nederlandse IT-leiders vinden beveiliging verantwoordelijkheid van de directie.

Waar beleg je de verantwoordelijkheid voor security binnen je organisatie en aan wie wordt wat gerapporteerd? In theorie zijn die vragen snel te beantwoorden en is een ideaalplaatje zo geschetst. Maar de praktijk is weerbarstiger, zo blijkt uit gesprekken met Nederlandse security-officers.

Natuurlijk, we zijn het allemaal met elkaar eens: de security binnen een organisatie is een zaak voor elke werknemer. Vooral omdat de mens de zwakste schakel is in de verdediging van je bedrijf of instelling, is het van cruciaal belang dat er organisatiebreed aandacht aan wordt besteed. Minder eenduidig te beantwoorden is het vraagstuk waar je de verantwoordelijkheden, de aansturing en de uitvoering van het securitybeleid belegt binnen je organisatie. Ligt die verantwoordelijkheid binnen je IT-organisatie en dus onder verantwoordelijkheid van de CIO? Of juist los daarvan en laat je de CSO, de chief security officer, rechtstreeks rapporteren aan de Raad van Bestuur?

Die vraag legden we tijdens een informele lunch voor aan een aantal professionele IT-leiders uit verschillende marktsegmenten. We vroegen naar hun ideeën en ervaringen op dat gebied. In theorie, zo blijkt, heeft vrijwel elke professional ongeveer hetzelfde beeld van de ideale structuur, maar in de praktijk zijn er grote verschillen.

Security is geen pure IT-functie

Zo heeft energienetwerkbedrijf Alliander in elk van zijn bedrijfsonderdelen een Privacy en Security Officer (PSO), vertelt Sjoerd Peerlkamp, als CISO bij Alliander verantwoordelijk voor zowel security als privacy. “In onze business, het leveren van energie, zit security in ons DNA. Wij hebben een duidelijke maatschappelijke verantwoordelijkheid. Als CISO rapporteer ik zowel aan de CIO als Raad van Bestuur. De PSO’ers rapporteren aan hun eigen directeur en dat komt weer bij elkaar bij de RvB.”

Sjoerd Peerlkamp: “Security en privacy zijn geen IT- maar business-risico’s”

Dat is een organisatorische opzet die deels de instemming kan wegdragen van Jan Peter de Valk, tot voor kort CIO bij Coöperatie VGZ. “De CISO is verantwoordelijk voor risk and compliance en dient dus te rapporteren aan de Raad van Bestuur en niet aan de CIO. De CIO zit te breed in de organisatie en de IT-organisatie is te breed of te ruim georganiseerd om hierin de juiste focus te hebben.” Sterker nog, zo vult Peerlkamp nog aan, security en privacy zijn helemaal geen pure IT-risico’s, maar een business-afweging. “IT kan wel helpen die risico’s in kaart te brengen of te verminderen.”

Jan Peter de Valk: “De IT-organisatie is te ruim georganiseerd voor een juiste focus op security”

Groei naar volwassenheid

Niettemin zet Willem Steenis, CIO bij het RIVM, vraagtekens bij zo’n structuur. “Als je zowel de CIO als de CISO aan de directie laat rapporteren krijg je dan niet te veel discussie? Want beiden hebben andere prioriteiten die haaks op elkaar kunnen staan, sterker nog, die elkaar kunnen bijten.” Henk Tuin, CIO bij bank Insinger de Beaufort, gaat daar onmiddellijk tegenin: “Wij hebben ook die twee aparte lijnen naar de directie, omdat we die discussie juist willen.” Maar Steenis is als CIO juist al gepositioneerd aan de businesskant. “Je ziet vaak dat IT als dienstverlener bij de bedrijfsvoering is ondergebracht. Mij gaat het om integrale informatievoorziening en dat is inclusief een uitmuntende informatiebeveiliging.”

Willem Steenis: “Als je zowel de CIO als de CISO aan de directie laat rapporteren, krijg je dan niet te veel discussie?”

Henk Tuin: “Wij willen die discussie juist”

Bij BCC is de situatie nog iets anders. Jan Bloemendaal, bij BCC eindverantwoordelijk voor IT-security. “Binnen IT wordt de verantwoordelijkheid voor IT- security ingevuld door een IT-architect die ook een rol heeft als IT-security officer. De IT- security officer teamt met de privacy officer die rechtstreeks aan de CEO rapporteert.” Een opvallend verschil met de bedrijfsomgevingen van de andere aanwezigen lijkt het beschikbare budget voor privacy en security te zijn. Jan Bloemendaal: “Dat is inherent aan retail met kleine marges. De business investeert beschikbare middelen bij voorkeur in omzet- en margeverhogende projecten en activiteiten. De CIO en privacy officer hebben dus de uitdagende taak noodzakelijk budget en capaciteit beschikbaar te krijgen. De verantwoordlijkheidsgebieden zijn als gevolg lean en mean vormgegeven.”

Hoe dan ook, zegt De Valk, dient het een topic te zijn in het bestuur, vooral omdat wat je wilt beschermen de data is. “En wie is verantwoordelijk voor de data? Dat is de business. En dus de Raad van Bestuur. De KPI’s hierin liggen bij de Raad van Bestuur.” Dat ziet Peter Mesker, CTO bij SecureLink, ook zo. “Security komt steeds hoger te liggen in de organisatie, maar je ziet in Nederland wel grote verschillen in volwassenheid. Organisaties zouden meer moeten kijken naar hoe anderen in dezelfde markt het doen.”

Peter Mesker:. “Security komt steeds hoger te liggen in de organisatie, maar je ziet in Nederland wel grote verschillen in volwassenheid”

In die groei naar volwassenheid zitten ook bijvoorbeeld de bibliotheken, zegt Paul Prooij van ProBiblio, een ondersteuningsinstelling voor de bibliotheken in Noord- en Zuid-Holland. Het lastige is dat de budgetten van de diverse regionale bibliotheekorganisaties onder druk staan, dat de functies van de bibliotheken veranderen en dat er veel met vrijwilligers wordt gewerkt.

Paul Prooij: “Bibliotheken zouden een functionaris Gegevensbescherming moeten hebben, maar daar is vaak geen geld voor”

“En mensen zijn nu eenmaal de zwakste schakel.” Nu worden er bewustwordingstrainingen gegeven, niet alleen over security maar vooral over privacy. “Lastig is dat je bijvoorbeeld ook burgers helpt bij het invullen van hun belastingen. Maar dat gaat dus wel over het deels openbare netwerk van de bibliotheek en is dus een risico. Ook zouden bibliotheken een functionaris Gegevensbescherming moeten hebben, maar daar is vaak geen geld voor. We kijken of we dat centraal kunnen oppakken.”

Nieuwe wetgeving

Met name de wetgeving op het gebied van gegevensbescherming zorgt ervoor dat security, privacy en compliance hoog in de organisatie aandacht moeten krijgen, stelt Steenis van RIVM, die vanuit zijn achtergrond als data-officer sterk hamert op de consequenties van de komst van de GDPR, ofwel de Algemene Verordening Gegevensbescherming (AVG). Op 25 mei 2018 gaat deze Europese verordening in en veel organisaties worstelen met de implementatie ervan. “Dat wordt inderdaad nog wel een uitdaging”, zegt Steenis. “Veel hangt af van de interpretatie van de wet en je hebt ook nog geen jurisprudentie waaraan je je kan vasthouden.”

“De vraag wordt vaak gesteld: ben je al klaar voor de AVG?”, zegt De Valk. “Iedereen zit in hetzelfde schuitje en je zal zien dat er in het komende jaar een versnelling van de implementatie komt. Als er voldoende angst is, dan komt er ook voldoende geld. Dat zag je in de financiële sector ook bij de implementatie van Sarbanes-Oxley. In de laatste drie maanden wordt alles uit de kast gehaald om eraan te kunnen voldoen.”


Deze bijdrage verscheen op http://cio.nl/security/99708-security-en-privacy-zijn-geen-zaken-voor-it