Cybersecurity is chefsache! Maar is dat in de praktijk ook zo?

Cybersecurity is chefsache

Hoe gaan bestuurders om met het onderwerp informatiebeveiliging? Tijdens een rondvraag onder bestuurders en leden van de Raad van Toezicht van onderwijsinstellingen was het terugkerende antwoord: “Dat is chefsache!” In de praktijk blijkt informatiebeveiliging echter nog vaak een verplicht nummer. Wat is er nodig om het tij te keren?

Dit artikel is onderdeel van een tweeluik over cybersecurity op de bestuurstafel, waar informatiebeveiliging een relatief nieuw onderwerp is. Waar we in dit artikel ingaan op de rol van CISO’s en hun plek in de organisatie. behandelt het andere artikel de regels en normen voor informatiebeveiliging en hun impact.

Op de bestuurstafel is cybersecurity een relatief nieuw onderwerp. Hoewel de samenwerking en professionaliteit van instellingen rondom dit onderwerp steeds sterker wordt, nemen de risico’s ook steeds grotere vormen aan. Om risicomanagement en interne controle op de juiste manier vorm te geven, wordt wereldwijd binnen organisaties het drielijnenmodel gebruikt. Binnen dit model heeft de Chief Information Security Officer (CISO) een duidelijke plek.

Het drielijnenmodel, de theorie

Het drielijnenmodel, ook wel het ‘Three Lines Model' (van The Institute of Internal Auditors) genoemd, is een raamwerk dat wereldwijd wordt gebruikt voor de organisatie van risicomanagement en interne controle binnen organisaties. Het model verdeelt de verantwoordelijkheden rondom informatiebeveiliging over drie lijnen, die elk een rol spelen in het waarborgen van een effectief beheerssysteem voor risico's en controles.

Toegepast binnen de onderwijs- en onderzoeksector zou de organisatie er volgens dit model als volgt uit moeten zien:

De eerste lijn bij een instelling zijn alle werknemers en studenten; van het College van Bestuur (CvB) en management tot de medewerkers op de werkvloer en in de collegezaal. Allen zijn verantwoordelijk voor informatiebeveiliging; voor de juiste en veilige omgang met de informatie van de organisatie. In de tweede lijn zitten bij voorkeur beleidsmakers en functionele experts, zoals de CISO, die met behulp van beleid, procedures, advies en bewustwordingscampagnes de eerste lijn ondersteunen. De derde lijn, zoals de FG en interne auditors, controleert en adviseert en zorgt ervoor dat zowel de eerste als de tweede lijn de wet- en regelgeving en het interne beleid naleven.

​​In de positionpaper ‘Governance van Cybersecurity, Privacy & Kennisveiligheid' van het Platform Integrale Veiligheid Hoger Onderwijs (IV-HO), wordt dit als volgt beschreven:

“Het CvB draagt de eindverantwoordelijkheid voor risico’s van de gehele instelling, inclusief die van cybersecurity. Ondersteunend hieraan is het proces van Enterprise Risicomanagement (ERM) dat risico’s identificeert en inzichtelijk maakt, voorstellen doet voor risicobeperking en (rest)risico’s monitort. Het CvB belegt het informatie- en risico-eigenaarschap in de (eerste) lijn en mandateert beleidsmakers en functionele experts (zoals de CISO, red.) in de beleidsstaf (tweede lijn) om hen te helpen die risico’s tot een acceptabel niveau te reduceren – dus niet om verantwoordelijkheid voor risico’s of cybersecurity te nemen!”

Kortom, om informatiebeveiliging te integreren in het dagelijkse werk van collega's en studenten – en in alle andere lagen van de organisatie - is het belangrijk om de CISO in de tweede lijn te positioneren.

Van theorie naar praktijk: waar staat de CISO nu?

In de praktijk geven veel CISO’s  aan dat zij gepositioneerd zijn in de eerste lijn, bij de ict-afdeling. Ze rapporteren vaak aan een ict-manager, -directeur of CIO. Soms is de rol van de CISO ook nog eens gecombineerd met taken van een privacy officer of zelfs functionaris gegevensbescherming (FG)

Het effect hiervan is dat cybersecurity wordt gezien als het werk van specialisten, ‘zij van de afdeling security’. Daardoor komt de verantwoordelijkheid veel moeizamer terecht bij de personen en teams die daadwerkelijk de diensten leveren aan de organisatie. Denk aan de afdelingen die Teams-omgevingen, servers en opslagruimte beheren. Het is al helemaal de vraag of werknemers en studenten het als hun verantwoordelijkheid voelen om veilig met informatie om te gaan.

Goed voorbeeld

Betere voorbeelden zijn er ook. Daarin zijn CISO’s wel gepositioneerd in de tweede lijn, bijvoorbeeld in een bestuursafdeling. Zij rapporteren dan rechtstreeks aan het CvB of, hiërarchisch, aan de bestuurssecretaris.

Bij Eindhoven University of Technology (TU/e) is het onderwerp een vanzelfsprekendheid geworden voor de Raad van Toezicht (RvT). Paul Doop, RvT-lid bij TU/e en voorzitter van het Audit Comité, laat er geen twijfel over bestaan: “Als RvT hebben we met het CvB besproken op welk volwassenheidsniveau wij zitten als het gaat om cybersecurity, en wat er nodig is om op het gewenste niveau te komen. We zijn geïnformeerd over belangrijke risico’s zoals bijvoorbeeld potentiële ransomware-aanvallen, hoe we ons daartegen verdedigen en welk beleid daarop is. De auditcommissie wil hier nadrukkelijk bij betrokken zijn. Ook laten we het regelmatig terugkomen in de RvT-vergaderingen, omdat het, zoals het heet, voor het CvB chefsache is. Het is één van de belangrijkste topics binnen het continuïteits- en risicomanagement van de TU/e.”

Integraal onderdeel

De ‘weeffout’ van de positionering van de CISO in de eerste lijn is niet opgelost met een bilateraal tussen de CISO en het CvB-lid dat het thema in de portefeuille heeft. Toch komt dit vaak voor. De verantwoordelijkheid voor informatiebeveiliging landt dan nog altijd niet waar het zou moeten landen, namelijk op de werkvloer. Op de werkvloer voelt het dan nog steeds als iets dat wordt opgelegd.

Voor Hans Biemans, bestuurder van Rijksuniversiteit Groningen (RUG), hoort informatiebeveiliging duidelijk bij de kwaliteitscultuur. “Het moet een integraal onderdeel zijn. Zolang het dat niet is, blijven privacy- en security- zaken die ‘erbij komen’. Terwijl het een onderdeel is van het geheel.”

Hoe een organisatie omgaat met informatiebeveiliging wordt sterk bepaald door de combinatie van drie bekende aspecten: mensen, processen en technologie. “Alle drie zijn nodig voor een voldoende mate van informatieveiligheid,” zegt Margot van der Starre, bestuurder van Universiteit Utrecht (UU). “Met technologie kun je veel systemen veiliger maken, denk aan tweefactorauthenticatie. Maar technische maatregelen werken vaak ook belemmerend en dat werkt niet altijd goed in een academische context. Uiteindelijk zijn het mensen die veilig moeten werken en bij hun werkzaamheden moeten bepalen of iets wel of niet verstandig is.”

Training en opleiding

Ook David van Traa, bestuurder van de Amsterdamse Hogeschool voor de Kunsten (AHK) onderschrijft dit: “Ik denk dat er een goede balans moet zitten tussen al deze elementen. Slimme processen waarbij mensen op de juiste positie zitten, dat is essentieel om goed te kunnen functioneren.”

Bij het menselijke aspect spelen training en opleiding een belangrijke rol, zodat werknemers en studenten goed ondersteund worden en hun verantwoordelijkheid kunnen pakken. Awareness creëren is onmisbaar om veiligheid te verankeren in het DNA van een organisatie. Op die manier moeten we het een integraal onderdeel maken van het dagelijkse werk van docenten, onderzoekers, staf en studenten.

Wanneer het drielijnenmodel goed is toegepast, ondersteunt de tweede lijn daarbij met het juiste beleid, eenduidige processen, heldere rapportages en effectieve awarenesscampagnes en opleidingen. Zonder een goede inbedding van veiligheid in het dagelijkse werk, blijft het een verplicht nummer.

In het DNA

Enerzijds willen we dus dat informatiebeveiliging chefsache is, maar anderzijds blijft het lastig om het onderwerp in het DNA van de organisatie in te bedden. Vanuit de besturen wordt de verantwoordelijkheid voor informatiebeveiliging en andere veiligheidsthema’s nog onvoldoende gedelegeerd naar het (hogere) management, waardoor het uiteindelijk ook niet doordringt tot de werkvloer.

De toepassing van het drielijnenmodel, met een juiste positionering van de CISO in de tweede lijn, helpt bij het stap voor stap integreren van informatiebeveiliging in het dagelijkse werk van de vele collega’s bij alle instellingen.

Hoe is dit bij jouw instelling geregeld?

Tekst: Martin de Vries, CISO TU/e

Gerelateerde artikelen

Cyberweerbaarheid en SURF-diensten

Hoe zorg je voor een veilige digitale werk- en leeromgeving? SURF helpt – onder andere – door diensten aan te bieden die jouw instelling veilig houden. Per SURF-dienst is aangegeven...

Een norm voor de vorm?

Wat dragen normen bij aan de informatiebeveiliging in onze sector? Hoe kijken we naar deze normen? Moeten er meer regels bij of is er juist behoefte aan iets anders? In...

Thema's