Zoal, al een beetje bekomen van de schrik dat je straks als beleidsmedewerker wordt gezien? Vandaag gaan we verder in op de organisatie achter informatiebeveiliging. We zijn daarmee aangekomen bij vraag 2.
De tweede vraag die we moeten stellen is:
Zijn de taken en verantwoordelijkheden op het gebied van integrale beveiliging eenduidig vastgelegd?
En het antwoord? Ja, nee of weten we het eigenlijk niet?
Er is veel onduidelijkheid over wie er nu eigenlijk verantwoordelijk is voor de beveiliging en vaak is het niet eenduidig vastgelegd. Is dat een aangewezen Security Manager of leggen we het als deeltaak weg bij een IT- of Facility Manager? De keuze is helemaal afhankelijk van de soort en omvang van de organisatie.
Een kleine organisatie hoeft misschien helemaal geen dedicated Security Manager te hebben. Maar dan wordt het wel een stuk belangrijker om de taken en bevoegdheden duidelijk bij iemand neer te leggen. Het liefst bij iemand die ook weet dat hij die taken en bevoegdheden heeft. We kunnen er niet zomaar vanuit gaan dat de IT-manager (als voorbeeld) wel snapt dat het bij zijn takenpakket hoort.
De verantwoordelijkheid is alweer een heel ander verhaal. Lijnmanagers denken nog wel eens dat de Security Manager verantwoordelijk is voor de beveiliging. Ja, dat klinkt misschien logisch, maar is het niet. We kunnen er vrij kort over zijn en voor iedere organisatie geldt hetzelfde: beveiliging is een lijnverantwoordelijkheid, de Security Manager reikt je slechts de tools en ondersteuning om jouw processen te beveiligen.
Ja, zul je (als lijnmanager) zeggen, dat is lekker, maar daar ga ik me toch echt niet verantwoordelijk voor voelen. Maar denk ook nog even na over wie er nu eigenlijk verantwoordelijk is voor de kwaliteit van het proces waar jij verantwoordelijk voor bent. Ben jij dat of vind je dat de Kwaliteitsmanager dat maar moet zijn?
Nee, we zullen toch echt moeten constateren dat jij als lijnmanager het voor het zeggen hebt voor de onder jouw verantwoordelijkheid vallen de processen. Daar is beveiliging gewoon een aspect van. Nu maar hopen dat je op een prettige wijze kunt samenwerken met de Security Manager. Als dat lukt, zijn we alweer een stap verder en dus op weg naar vraag 3.
Nogmaals, voor diegene onder jullie die echt niet 10 dagen willen wachten, je kunt de quickscan zelf ook al doorlopen door hier te klikken of door me snel uit te nodigen voor die bak koffie.