Zoals we inmiddels weten wordt voor de beveiliging van de bedrijfsprocessen gekeken naar de ondersteunende informatie, het materieel en het personeel. Voor de informatie wordt de digitale informatie in de informatiesystemen steeds belangrijker (soms overschatten we dat belang trouwens want wat is er mis met het schrijven van een brief, het plakken van een postzegel en het dichtlikken van een envelop als de email het niet meer doet?). En hoewel ik informatiesystemen graag breder zie dan alleen de digitale systemen (terugkomend op de geschreven brief…een postvak is in die zin ook onderdeel van een informatiesysteem) worden die digitale systemen belangrijker en belangrijker.
De vraag die we ons moeten gaan stellen is:
Zijn alle informatiesystemen toegewezen aan een verantwoordelijke?
Laten we maar direct onderkennen dat we de verantwoordelijkheid voor informatiesystemen echt niet alleen voor de beveiliging van dat systeem willen beleggen. Nee, beveiliging is nog steeds ondersteunend en er zijn andere redenen waarom we dat informatiesysteem in leven houden (althans: ik hoop dat die redenen er zijn want anders kunnen we ze beter uitzetten). Alleen al omdat het informatiesysteem een bijdrage levert aan het voortbestaan van de organisatie willen we dat het systeem zo goed mogelijk gemanaged wordt.
Als we dan toch al iemand aan hebben gewezen die verantwoordelijk is, dan is het nog een klein kunstje om hem of haar ook duidelijk te maken wat de taken, bevoegdheden en verantwoordelijkheden op het gebied van de beveiliging van dat informatiesysteem zijn. Op papier allemaal niet zo ingewikkeld maar laten we vooral die taken, bevoegdheden en verantwoordelijkheden niet zomaar over de schutting gooien.
Formeel is de verantwoordelijke ook verantwoordelijk voor de beveiliging, want beveiliging was immers een lijnverantwoordelijkheid. Maar laten we diegene daarin watertrappelen dan is de kans groot dat beveiliging het ondergeschoven kindje wordt. Nee, het is de taak van de security manager om de kaders te ontwikkelen, de formats, de standaarden, de richtlijnen en vooral ook om een luisterend oor te zijn voor de organisatie.
We kunnen het niet genoeg benadrukken: beveiliging moet het werken niet lastiger maken dan nodig, nee we moeten keuzes maken over het niveau van beveiliging…en die keuzes worden toch echt gemaakt door degene die we verantwoordelijk maken voor de informatiesystemen. Zijn wij het vanuit de beveiligingsoptiek het niet eens met de gemaakte keuzes dan gaan we eerst in overleg, leggen onze beweegredenen uit en laten eventueel een hoger echelon de definitieve hamerklap geven.