Interne organisatie van informatiebeveiliging

  1. 8 dec 2015
  2. 0 reacties
Dennis-Baaten

De vorige keer heb ik gesproken over verankering van informatiebeveiliging op strategisch niveau door het verkrijgen van management commitment. Vandaag gaat het ook over verankeren, maar dan op tactisch / operationeel niveau. Hoofdstuk 6.1 uit de ISO 27002:2013 gaat hier verder op in door te beschrijven hoe je de organisatie van informatiebeveiliging in de interne organisatie aan kunt pakken. Twee (van de vijf) onderwerpen binnen hoofdstuk 6.1 zal ik hieronder nader toelichten.

Rollen en verantwoordelijkheden

Alvorens aan de slag te gaan met definiëren van de verschillende rollen en de bijhorende verantwoordelijkheden, is het belangrijk om eerst een aantal relevante definities vast te stellen. Dit voorkomt discussies en misverstanden. De belangrijkste op een rijtje:

  • Verantwoordelijkheid gaat met name over verantwoordelijkheidsstelling. Dat is van toepassing op een resultaat (en niet op een inspanning) waarvoor men een verantwoordelijkheid overeen is gekomen. Dit is dus iets anders dan verantwoordelijkheidsgevoel wat gaat over activiteiten waarvoor men vanuit zichzelf de licht voelt verantwoordelijkheid te nemen.
  • Een bevoegdheid is er in twee smaken. Beslissingsbevoegdheid is het zelfstandig mogen beslissing of handelen, en kan per verantwoordelijkheidsgebied slechts aan één medewerker worden toegekend. Een adviesbevoegdheid daarentegen is het meewerken aan de voorbereiding van een beslissing of het opstellen van een advies hieromtrent, en kan worden toegekend aan meerdere personen.
  • Een taak is het uitvoeren van een actie of handeling (waar mogelijk een verantwoordelijkheidsgevoel op van toepassing is).
  • Bij mandateren oefent iemand een bevoegdheid uit namens een ander. De overdracht van de bevoegdheid is niet volledig; de mandaatgever kan terugkomen op genomen beslissingen. Bij delegeren oefent iemand een bevoegdheid uit onder eigen naam en verantwoordelijkheid.

Op de werkvloer wordt vaak gesproken over het delegeren van verantwoordelijkheden. In lijn met de bovenstaande definities stel ik dat dit feitelijk gezien niet kan. Wel het is mogelijk om bevoegdheden te delegeren.

Met bovenstaande definities in het achterhoofd, ga je aan de slag met het uitwerken van de verschillende rollen. Deze zijn sterk afhankelijk van het type organisatie, maar denk bijvoorbeeld aan: directie, manager IT, information security officer, accountmanager, en kantoor medewerker. Per rol beschrijf je kort de verantwoordelijkheid en/of bevoegdheid, waarna je een opsomming geeft van taken die hierbij van belang zijn. Wat helpt is wanneer je dit vervolgens samenvoegt in een RACI-model (ook wel VURI-model genoemd). Deze exercitie helpt bij het helder krijgen van de grenzen tussen de verschillende rollen en het signaleren van samenwerkingsmomenten.

Een veel gehanteerde insteek is dat de eigenaar verantwoordelijk is voor de informatiebeveiliging van bedrijfsmiddelen, en dat de information security officer (of manager informatiebeveiliging) hierbij de nodige ondersteuning biedt. Probleem is echter dat het eigenaarschap vaak niet goed is vastgesteld, en in een aantal gevallen ook moeilijk is vast te stellen. Voornamelijk kleinere organisaties hebben hier last van. Bij gebrek aan verantwoordelijkheidsstelling val je dan terug op de aanwezigheid van verantwoordelijkheidsgevoel bij de medewerkers, op basis waarvan iemand zichzelf een beslissingsbevoegdheid toekent. Dit is geen ideale situatie, maar onder het motto ‘iets is beter dan niets’ is dit een prima alternatief. Probeer dan wel met elkaar vast te leggen hoe dit in de praktijk werkt, en wanneer het nodig is om te nemen besluiten vooraf met elkaar af te stemmen.

Scheiding van taken

Om te voorkomen dat bedrijfsmiddelen worden misbruikt, of onbevoegd / onbedoeld worden gewijzigd, is het belangrijk bepaalde taken te scheiden tussen medewerkers (rollen). In grotere organisaties kun je dit prima voor elkaar krijgen, maar bij kleinere organisaties is het realiseren van functiescheiding (beschikken, bewaren, registreren, controleren en uitvoeren) een moeilijke en soms onmogelijke opgave. Om het risico op het ontbreken van functiescheiding zoveel als mogelijk te voorkomen, kunnen een aantal basale uitgangspunten in acht worden genomen:

  • Maak gebruik van het 4 ogen principe bij financiële transacties.
  • Het aangaan van externe verplichtingen geschied uitsluitend door het management.
  • De interne controlefunctie van het (informatiebeveiligings)beleid is hiërarchisch onafhankelijk opgehangen t.o.v. de uitvoerende functies.
  • Jaarrekeningcontrole door externe onafhankelijke partij.
  • Regelmatige informatiebeveiligingsaudits door externe onafhankelijke partij.
  • Logische toegangsbeveiliging handhaaft beoogde functiescheidingen. Dus niet iedereen alle rechten. Denk hierbij ook aan scheiding in ontwikkeling, testen, acceptatie, en productie.
  • Logging op cruciale systemen waardoor handeling zijn te herleiden naar een enkel persoon.

Over twee weken ga ik verder met de drie resterende onderwerpen binnen hoofdstuk 6.1: contact met overheidsinstanties, contact met speciale belangengroepen, en informatiebeveiliging in projectenbeheer.

Dennis Baaten is eigenaar van Baaten ICT Security en helpt organisaties op organisatorisch en technisch vlak met het opzetten en borgen van een goede informatiebeveiliging