← Alle artikelen

Structuur en proces als basis voor informatiebeveiliging

Met de inwerkingtreding van de Cyberbeveiligingswet (Cbw), de Nederlandse implementatie van de Europese NIS2-richtlijn, is informatiebeveiliging geen interne aangelegenheid meer. Het is een bestuurlijke verplichting. In dit artikel leggen we uit hoe structuur en proces kunnen worden ingericht om aan deze verplichting te kunnen voldoen.

Met de inwerkingtreding van de Cyberbeveiligingswet (Cbw), de Nederlandse implementatie van de Europese NIS2-richtlijn, is informatiebeveiliging geen interne aangelegenheid meer. Het is een bestuurlijke verplichting. U bent als bestuurder aansprakelijk voor de inrichting van de beveiligingsmaatregelen, op de werking ervan en op de rapportage daarover aan een toezichthouder. Dat roept een praktische vraag op: hoe geeft u daar invulling aan, zonder een aparte beveiligingsorganisatie op te tuigen naast alles wat er al is?

Veel organisaties reageren op de Cbw door nieuwe structuren toe te voegen: een extra overlegorgaan, een apart register, een nieuw rapportageformat. Begrijpelijk, maar risicovol en tijdrovend. Informatiebeveiliging werkt juist het best wanneer het geïntegreerd is in de bestaande bedrijfsvoering, niet wanneer het ernaast staat.

De juiste vraag is niet: “hoe bouwen we een securityorganisatie?” De juiste vraag is: “hoe integreren we informatiebeveiliging in de bestaande organisatie?” Het antwoord bestaat uit twee elementen die samen één samenhangend stelsel vormen:

  1. het Three Lines Model voor het beleggen van verantwoordelijkheden (structuur)
  2. de PDCA-cyclus als motor van informatiebeveiliging (proces)

Samen vormen ze een licht stelsel dat organisaties bestuurbaar maakt: gebouwd op wat er al is, klaar voor wat de wet vraagt.

Verantwoordelijkheden beleggen: het Three Lines Model

Het Three Lines Model biedt een bewezen manier om verantwoordelijkheden helder te beleggen. Het is geen invuloefening, maar een inrichtingsprincipe. Om te begrijpen hoe het model werkt, helpt het eerst inzicht te krijgen in de lagen waaruit een organisatie bestaat: processen, systemen en data zijn in de praktijk sterk met elkaar verweven, zoals de volgende afbeelding laat zien.

Als deze lagen uit elkaar worden getrokken, wordt meteen duidelijker wie eigenaar is van welke risico’s. Het Three Lines Model geeft daar vervolgens structuur aan, zoals de volgende afbeelding illustreert.

De eerste lijn voert operationele processen uit, beheert systemen en verwerkt informatie. Daarmee draagt de eerste lijn ook het eigenaarschap van de bijbehorende risico’s, van phishing tot datalekken bij leveranciers. Informatiebeveiliging is hier geen aparte taak, maar onderdeel van het ‘gewone werk’. Medewerkers helpen elkaar risico’s te vermijden en spreken elkaar aan op de naleving van normen.

Proces- en systeemeigenaren treffen controlemaatregelen (zoals ‘security by design en default’ en toegangsregels) en reageren op afwijkingen. Zij richten continuïteitsmanagement in en toetsen dit regelmatig. Over dit alles rapporteren zij periodiek, zodat u als bestuurder kunt beoordelen of de organisatie voldoende in control is.

De tweede lijn, bestaande uit de CISO, privacyofficer en andere specialisten, vervult een ondersteunende rol. Zij zijn niet verantwoordelijk voor de risico’s zelf: dat is en blijft de eerste lijn. Wel vertalen zij wetgeving naar beleid, monitoren zij de werking van de controlemaatregelen en adviseren zij de eerste lijn en de bestuurder. De opmerking “daar hebben we toch een CISO voor?” illustreert precies de verwarring die met deze irichting wordt voorkomen.

De derde lijn, bestaande uit interne auditors en de Functionaris Gegevensbescherming, toetst steekproefsgewijs op basis van de daadwerkelijke uitvoering of het stelsel niet alleen op papier, maar ook in de praktijk goed werkt. Het ontbreken van deze derde lijn is  een veelvoorkomende barrière voor hogere volwassenheidsniveaus van informatiebeveiliging in organisaties.

De bijgaande tabel toont een voorbeeld van de taakverdeling tussen deze drie lijnen in de praktijk.

Grip organiseren: de PDCA-cyclus als ISMS

De drie lijnen vormen samen de organisatorische basis. Maar rollen alleen geven geen grip. Grip ontstaat pas wanneer rollen zijn verankerd in een werkend proces: duidelijke mandaten, passende informatie en samenhangende besluitvorming en besturing. Daarvoor is een ISMS nodig: een Informatie Security Management Systeem.

Een ISMS klinkt groter dan het is. In essentie is het niets meer dan een PDCA-cyclus (Plan – Do – Check – Act) toegepast op risicomanagement. De meeste organisaties draaien al een aantal beheerprocessen op dit ritme. Het gaat er dus niet om iets nieuws te bouwen, maar om informatiebeveiliging aan te haken bij wat er al is. De volgende afbeelding laat zien hoe die cyclus eruitziet.

Het besturingsmodel: drie niveaus in samenhang

Als de drie lijnen en de PDCA-cyclus over elkaar worden gelegd, ontstaat een besturingsmodel op drie niveaus. Op operationeel niveau werken managers en specialisten (voor het gemak hebben we hen Privacy- & Security Coördinatoren genoemd) samen aan een werk- of verbeterplan en stellen zij periodieke voortgangsrapportages op. Dit maakt de eerstelijnsverantwoordelijkheid concreet en aantoonbaar, zoals de volgende afbeelding illustreert.

Op tactisch niveau worden rapportages gedeeld in een directeuren- of managementoverleg. Hierdoor kan van elkaar worden geleerd, worden verantwoordelijkheden expliciet vastgelegd en wordt interne dienstverlening geprofessionaliseerd. Helder is wie verantwoordelijk is voor welke processen, systemen en controlemechanismen. De volgende afbeelding toont hoe dit er in de praktijk uitziet.

Op strategisch niveau vindt de beoordeling van risico’s en maatregelen en de besluitvorming daarover plaats in het bestuursoverleg. In onze ervaring wordt dat periodiek voorbereid in een overleg waar tactisch en strategisch niveau elkaar ontmoeten. Op basis van risicoanalyses, rapportages en de actuele situatie stelt de bestuurder beleidsaanpassingen vast die via de eerder genoemde structuren terug worden gebracht naar de operatie. Daarmee is de PDCA-cyclus gesloten. In de meeste gevallen is dit voorbereidende overleg het enige nieuwe orgaan dat nodig is. Al het overige sluit aan bij bestaande structuren.

Als de drie niveaus over elkaar heen worden gelegd, vormt zich vanzelf het volledige besturingsmodel. De Cbw legt bestuurders een reële verantwoordelijkheid op, maar die hoeft geen zware organisatorische last te zijn. Met het Three Lines Model als structuur en de PDCA-cyclus als motor beschikt u over een licht en werkend stelsel, gebouwd op wat u al heeft.