 |
| Afbeelding via Pixabay |
Op mijn lijstje met onderwerpen van de blog staat onder andere deze zin:
“Er bestaan ook business security officers”. Achter dit zinnetje gaat de
constatering schuil dat veel collega’s dit niet weten. Hoogste tijd dus om eens
uit de doeken te doen welke soorten informatiebeveiligers we zoal hebben en wat
hun rol is.
Laat ik maar bij mezelf en mijn soortgenoten bij de IV-organisatie
(Informatievoorziening) beginnen. Niet omdat wij zo vreselijk belangrijk zijn,
maar omdat ik het zo het beste kan uitleggen. Je kunt mij vele etiketjes
opplakken: mijn officiële functie is het nietszeggende stafadviseur, ik noem
mezelf meestal adviseur informatiebeveiliging en de titel information security
officer past mij ook wel. Maar wat doen wij eigenlijk? We zijn
eindverantwoordelijk voor de informatiebeveiliging van alles wat de
IV-organisatie voortbrengt (applicaties en technische infrastructuur, zoals
netwerken, servers en werkplekken). De crux zit ‘m daarbij in het voorvoegsel
‘eind’. De verantwoordelijk voor elk afzonderlijk product ligt namelijk gewoon
in de lijnorganisatie – team, afdeling, onderdeel, ofwel: teammanager,
afdelingshoofd, directeur. Als informatiebeveiligers helpen we de lijn bij het
waarmaken van hun verantwoordelijkheid; we staan hen bij met advies, we helpen
met risicoanalyses en bij het vaststellen of ze aan wet- en regelgeving voldoen
(met name de Baseline Informatiebeveiliging Overheid, de BIO) en we reageren op
meldingen van het type: “Hier gebeurt iets waar je eens naar zou moeten
kijken”.
Vanuit onze eindverantwoordelijkheid hebben we ook een mening over van
alles en nog wat. Als we constateren dat iets niet is zoals het zou moeten
zijn, dan vinden we daar iets van. En dat is niet vrijblijvend. Maar we treden
met deze pet op niet alleen corrigerend op, maar ook regelgevend. We schrijven
en implementeren beveiligingsstandaarden voor de IV-organisatie, die invulling
geven aan het geldende beleid. Dat proberen we zodanig te doen dat er ook echt
mee kan worden gewerkt; daarvoor zoeken we afstemming met de mensen die er
uiteindelijk mee te maken krijgen.
Dan de business security officers, de BSO’s, waar het allemaal om is
begonnen. Zij zitten bij de verschillende organisatieonderdelen en zien erop
toe het beveiligingsbeleid ook dáár wordt geïmplementeerd en nageleefd. De
BSO’s gaan over integrale beveiliging, dus naast informatiebeveiliging bemoeien
ze zich ook met fysieke beveiliging. Een medewerker uit zo’n
organisatieonderdeel, die iets ziet dat hij onder de aandacht van ‘beveiliging’
wil brengen, kan bij z’n eigen BSO aankloppen. Alleen: veel mensen weten
helemaal niet dat die BSO’s bestaan. Ze gaan dan op het intranet of in de interne
telefoongids op zoek naar iemand die ze aan z’n jasje kunnen trekken en dan
komen ze niet zelden uit bij ons team. Of ze komen rechtstreeks bij mij
persoonlijk uit, want tja, als blogger steek je nu eenmaal net iets meer boven
het maaiveld uit. Dat is niet erg hoor – ik heb liever een melding, die niet
direct op de juiste plek landt, dan géén melding. Maar het zou natuurlijk een
goede zaak zijn als de BSO’s ook wat meer naamsbekendheid zouden krijgen. [In
de interne versie van deze blog staat hier een link naar een lijst van BSO’s.]
En dan hebben we nog de CSO en de CISO, respectievelijk chief security officer en chief information security officer. De
eerste gaat over integrale beveiliging, de tweede specifiek over
informatiebeveiliging. Zij maken het beveiligingsbeleid voor de hele
organisatie (gebaseerd op ‘hoger’ beleid) en ondersteunen de organisatie bij
het implementeren en naleven van beleid, kaders en richtlijnen. Dit is overigens
nog maar de korte versie van de functiebeschrijvingen.
De boodschap van dit verhaal: wil je iets kwijt op het gebied van
beveiliging, zoek het dan in eerste instantie dicht bij huis, bij je eigen BSO.
Kom je er toch niet uit, dan zijn mijn collega’s en ik natuurlijk altijd bereid
om je een duwtje in de juiste richting te geven. En als BSO’s advies nodig
hebben vanuit IV, dan staan we uiteraard ook klaar.
En in de grote boze buitenwereld …
- wordt schaduw-ICT een steeds groter probleem voor organisaties.
- steelt deze phishing-pagina “van” de Griekse belastingdienst je wachtwoord zodra je het intikt.
- nemen ransomware-bendes in de VS vooral ziekenhuizen op de korrel.
- eist de Europese Commissie beter beschermde smartphones en deurbellen.
- mag je – juridisch gezien – je oude, kwetsbare router gewoon blijven gebruiken (maar slim is het niet).
- dwingen Aziatische mensensmokkelaars hun ‘klanten’ om cyberscams te plegen.
- misleidt de Amerikaanse Douane reizigers door te doen alsof je verplicht bent om je telefoon te ontgrendelen voor onderzoek.
Geen opmerkingen:
Een reactie posten