De informatiebeveiligingsdienst (IBD) is er duidelijk over: Het bestuur draagt de verantwoordelijkheid voor informatiebeveiliging (bron).

Dit is eigenlijk heel logisch. Informatiebeveiliging begint bij het Strategisch Informatiebeveiligingsbeleid, dat deel uitmaakt van het strategische beleid van de organisatie. Bovendien draait informatieveiligheid grotendeels over houding en gedrag. De meeste oorzaken van incidenten zijn te herleiden naar een menselijke fout. De cultuur binnen een organisatie is dus doorslaggevend voor het omarmen van informatieveiligheid.

Desondanks wordt nog vaak de IT afdeling of de CISO aangewezen als verantwoordelijken voor informatieveiligheid. Zij hebben zeker een rol binnen informatieveiligheid, maar zijn er niet de eindverantwoordelijken voor.

De CISO controleert en adviseert over informatieveiligheid.
De IT afdeling is verantwoordelijk voor de technische ondersteuning en uitvoering van informatieveiligheid.

Hoe zorg je ervoor dat jouw bestuur informatieveiligheid serieus neemt?

Breng argumenten naar voren die aanspreken bij jouw bestuur. Onderzoek dus waar jouw bestuur gevoelig voor is.

Ik noem een aantal voorbeelden.

1. Risico’s

Het risico dat jouw organisatie getroffen wordt door een cyberincident 1 op 5. De kans dat er brand ontstaat in jouw kantoorpand is 1 op 8000. Dit is dus een heel reëel risico.

2. Wettelijke vereisten

Onder NIS2 is de bestuurder persoonlijk verantwoordelijk. Als je een essentiële organisatie bent en je wordt getroffen door een cyberincident zonder voorbereiding, dan loopt de bestuurder het risico op een hoge boete.

Wil je weten of jouw organisatie onder NIS2 valt? Voer dan deze zelfevaluatie uit.

3. Impact op kerntaken

Een cyberincident kan ervoor zorgen dat jouw organisatie haar kerntaken niet meer kan uitvoeren.

Als jouw organisatie uitkeringen verstrekt, gaat er veel geld rond in de organisatie. Stel je voor dat dit geld in handen komt van cybercriminelen. Dan kun je jouw uitkeringen niet meer uitbetalen, wat direct nadelige gevolgen heeft voor burgers. Daarnaast moet je mogelijk losgeld betalen om nog iets van je geld of gegevens terug te zien.

4. Fysieke veiligheid

Beheert jouw organisatie cruciale infrastructuur, zoals pompen, gemalen, bruggen en dergelijke? Het risico bestaat dat deze na een cyberaanval onbruikbaar worden. Dit heeft directe gevolgen voor de fysieke veiligheid van jouw verzorgingsgebied.

Stel je voor dat een ziekenhuis door een cyberaanval geen operaties meer uit kan voeren. Ook acute zorg kan dan niet meer worden verleend. Patiënten moeten direct worden overgebracht naar andere ziekenhuizen.

Hoe maak je de rol van het bestuur binnen informatiebeveiliging concreet?

Neem hiervoor de 10 bestuurlijke principes voor informatiebeveiliging op in het Strategisch Informatiebeleid. Hiermee geef je jouw bestuur praktische handvaten om informatieveilig werken te integreren in de hele organisatie.

De 10 principes zijn:

1. Bestuurders en directie bevorderen een veilige cultuur.
2. Informatiebeveiliging is van iedereen.
3. Informatiebeveiliging is risicomanagement.
4. Risicomanagement is onderdeel van de besluitvorming.
5. Informatiebeveiliging behoeft ook aandacht in (keten)samenwerking.
6. Informatiebeveiliging is een proces.
7. Informatiebeveiliging kost geld.
8. Onzekerheid dient te worden ingecalculeerd.
9. Verbetering komt voort uit leren en ervaring.
10. Het bestuur / de directie controleert en evalueert.

De volledig uitgeschreven principes vind je in dit document van de IBD.

Zorg er bovendien voor dat het Strategisch Informatiebeveiligingsbeleid daadwerkelijk geïntegreerd wordt in het strategische beleid van jouw organisatie. Dit vormt namelijk de basis waarop al het andere beleid en de processen worden gebouwd. Informatieveiligheid wordt vervolgens een integraal onderdeel van alle andere beleidsdocumenten. Verantwoordelijken van alle beleidsdomeinen moeten er daarom voor te zorgen dat dit wordt opgenomen in het beleid.