Daar ga ik niet over…

Een uitspraak die ik regelmatig op de werkvloer tegenkom luidt: “daar ga ik niet over”. Daar sta ik dan met mijn nieuwe idee om de beveiliging te verbeteren. Iedereen vindt het een goed idee, maar niemand trekt de verantwoordelijkheid om dit te realiseren naar zich toe. Omdat er formeel geen eigenaar van het desbetreffende systeem is benoemd, blijft de verantwoordelijkheid zweven en wijst iedereen naar elkaar.

Dit moet in meer of mindere mate voor velen bekend klinken, want het komt regelmatig voor dat de systeemeigenaar niet bekend is. Toch is het belangrijk om linksom of rechtsom wel een eigenaar voor bedrijfsmiddelen te benoemen. De eigenaar draagt namelijk bepaalde verantwoordelijkheden waarvan het belangrijk is dat ze duidelijk zijn belegd. Hoofdstuk 8.1 van de ISO 27002:2013 gaat over bedrijfsmiddelen en de verantwoordelijkheden die erbij horen.

Identificeren en vastleggen

Bedrijfsmiddelen zijn er in vele soorten en maten. Binnen de ICT kun je grofweg drie soorten bedrijfsmiddelen onderscheiden: informatie/gegevens, programmatuur en apparatuur. De eerste stap is dat alle bedrijfsmiddelen duidelijk zijn geïdentificeerd, en dat er een inventaris van alle belangrijke bedrijfsmiddelen wordt opgesteld en bijgehouden. Een bekende vorm van zo’n inventaris is de Configuration Management Database (CMDB). Binnen de inventaris kunnen de eigenschappen van de bedrijfsmiddelen worden bijgehouden. Denk bijvoorbeeld aan versie, eigenaar, en classificatieniveau.

Verantwoordelijkheden van de eigenaar

Wanneer de eigenaar is benoemd, kan deze worden aangesproken op zijn verantwoordelijkheden waaronder de beveiliging van het bedrijfsmiddel. De eigenaar dient er namelijk op toe te zien dat het bedrijfsmiddel met voldoende maatregelen wordt omkleed, om een passend beveiligingsniveau te realiseren. Het is hierbij gebruikelijk dat de eigenaar zich laat adviseren door de information security officer, of uitgaat van het vigerend beleid en/of standaarden. Een andere belangrijke verantwoordelijkheid is het op regelmatige basis beoordelen van de autorisaties die op het bedrijfsmiddel van toepassing zijn: wie heeft er met welke rechten toegang tot bedrijfsmiddelen? Op dit vlak wordt vaak de samenwerking gezocht met een systeem- of applicatiebeheerder die de eigenaar hierbij kan ondersteunen en erop toeziet dat de autorisaties ook daadwerkelijk zijn geïmplementeerd zoals aangegeven door de eigenaar. Het is aan de information security officer om hier regelmatig controles op uit te voeren.

Aanvaardbaar gebruik

Er zijn ook bedrijfsmiddelen die door de organisatie aan haar werknemers en/of ingehuurd personeel ter beschikking worden gesteld. In een dergelijk geval is het belangrijk dat gebruikers zijn geïnformeerd over de voorwaarden van het gebruik van de bedrijfsmiddelen. Veel organisaties gebruiken bijvoorbeeld een gedragscode om aan te geven wat wel en niet is toegestaan, en meer specifieke zaken kunnen uiteraard ook in aanvullende richtlijnen of beleidsdocumenten worden vastgelegd. Zolang gebruikers maar worden geïnformeerd over de voorwaarden en worden gewezen op hun verantwoordelijkheden. Bij bijvoorbeeld de uitgifte van laptops kan ook aan medewerkers worden gevraagd om een handtekening onder een overeenkomst te zetten waarin hij of zij verklaart zich aan de regels te houden.

Inname bedrijfsmiddelen

Het kwam al ter sprake in een van mijn eerste blogs in deze serie, maar bij beëindiging van het dienstverband dienen medewerkers en ingehuurd personeel alle bedrijfsmiddelen in te leveren, en worden autorisaties ingetrokken. Wanneer bedrijfsmiddelen worden overgenomen voor privégebruik, dienen deze eerst door de organisatie te worden geschoond. Tot slot kan het een goed idee zijn om vertrekkende medewerkers een verklaring te laten ondertekenen waarin ze aangeven geen bedrijfsmiddelen meer in hun bezit te hebben, en dat ze geheimhouding respecteren.

Dennis Baaten is eigenaar van Baaten ICT Security en helpt organisaties op organisatorisch en technisch vlak met het opzetten en borgen van een goede informatiebeveiliging

3 Responses to Daar ga ik niet over…

  1. […] de belangrijkste vind ik het benoemen/hebben van een eigenaar van een systeem of applicaties. Zoals eerder besproken heeft de eigenaar bepaalde verantwoordelijkheden waaronder de toegangsbeveiliging en de […]

  2. Dennis Baaten schreef:

    Norman,

    Je stelling klopt, maar dan wel vanuit een andere context. De context van mijn blog is een toelichting uit een onderdeel uit de ISO 27002. Dit doe ik elke twee weken.

    Kijkend naar de VIR 2007, dan past dit nog het beste bij artikel 4: “Verantwoordelijkheden lijnmanagement”. Hier staat bijvoorbeeld: “…lijnmanagement is verantwoordelijk voor de beveiliging van zijn informatiesystemen…”.

    Het is deze operationele (en mogelijk gedelegeerde/gemandateerde) verantwoordelijkheid die vaak niet wordt genomen, maar die op de werkvloer wel nodig is. Daar kun je de nodige analyses op los laten om de achterliggende oorzaak te achterhalen, of de problematiek naar een hoger niveau tillen, maar feit blijft dat de ISO 27002 (en daarmee de ISO 27001) beschrijft dat het geregeld dient te zijn.

    En natuurlijk is het dan handig wanneer de ondernemer/bestuurder begrijpt dat het ontbreken van deze operationele verantwoordelijkheid betekent dat hij/zij aan zet is.

  3. Norman van Es schreef:

    Dennis,
    Prima artikel.
    Gelukkig heeft de wetgever hier iets op gevonden: de Schuldige!

    Vanuit de Wet bescherming persoonsgegevens, de VIR 2007 en de diverse best-practices staan eigenaarschap en de verantwoordelijkheden vast. En ook de Schuldige als het fout gaat: de ondernemer/bestuurder!
    Dus eigenlijk best wel terecht dat men op de werkvloer zegt: “daar ga ik niet over”.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *