De BIO is niet langer het feestje van de CISO en de FG

Informatiebeveiliging en privacy staan hoog op de bestuurlijke agenda. Althans dat roepen we met z’n allen maar blijkt in de praktijk toch iets weerbarstiger. Dat bleek vorige week weer eens tijdens onze klantendag in Utrecht waar we met CISO’s, Privacy Officers en Functionarissen Gegevensbescherming in gesprek gingen.

Schakel of Spil?

De rode draad tijdens het middagprogramma was toch wel hoe je in control bent en blijft vanuit je rol als CISO, PO of FG. Dat begint met voldoende besef van urgentie voor en steun van het bestuur bij de implementatie van informatieveiligheid. Vervolgens voldoende afstemming en draagvlak van het management krijgen. Daarna kan pas acceptatie van en implementatie door de organisatie worden bewerkstelligd. Dat hoeft niet per se een top-down volgorde te zijn, belangrijk is dat ze alle drie nodig zijn om informatieveiligheid te organiseren én te borgen. De BIO zorgt ervoor dat risicomanagement als integrale verantwoordelijkheid wordt opgelegd en je dus op meerdere niveaus in de organisatie een geaccepteerd gesprekspartner moet zijn. Dankzij de BIO hebben de CISO en de FG nu de wind mee zou je denken. Niets is minder waar. Beleid, budget en bemensing de welbekende tijd, kwaliteit en geldaspecten moeten wel ingevuld worden. En dat levert vaak een flinke strijd op waardoor de noodzakelijke organisatorische veranderingen weliswaar schoorvoetend worden doorgevoerd maar meestal niet voldoende mandaat meekrijgen. En helaas bij veel organisaties blijft het nog steeds adhoc en incident gedreven managen van risico’s. Om van een schakel in het geheel echt dé spil te worden zullen de CISO, de PO en de FG meer samenwerken en een partner moeten zoeken.

Omgevingswet?

De Omgevingswet vanaf 2021 zal ketensamenwerking tussen overheden intensiveren en zorgt ook  voor vervaging van organisatiegrenzen. Dat heeft invloed op verantwoordelijkheden ten aanzien van informatiebeveiliging, informatiebescherming en informatievoorziening. Inderdaad ook informatievoorziening! Tot nu toe spraken CISO en FG met elkaar over informatiebeveiliging en informatiebescherming. Ketengerichte informatievoorziening is de basis van de Omgevingswet en wordt vormgegeven in het Digitaal Stelsel Omgevingswet (DSO). In het DSO is informatie-uitwisseling randvoorwaardelijk vormgegeven op basis van zaakgericht werken. En dus is de kwaliteit van informatiebeheer opeens ook een integrale verantwoordelijkheid en onderdeel van het organiseren van risicomanagement. En informatiebeheer staat immers ook hoog op de bestuurlijke agenda en krijgt de aandacht die het verdient, of toch (ook) niet? De CISO en FG hebben baat bij een partner vanuit informatiebeheer. Samen kunnen ze verbindend optreden om urgentiebesef te versterken, het mandaat af te dwingen en het draagvlak te organiseren.

Informatieveiligheidsdriehoek

Key2Control hanteert vanuit haar visie op informatieveiligheid een integrale aanpak om informatiebeveiliging, informatiebescherming en informatiebeheer te organiseren. Door gebruik te maken van het Key2Control GRC-platform kunnen overheidsorganisaties zich continu én met succes snel aanpassen aan nieuwe ontwikkelingen zoals de Omgevingswet. Door informatieveiligheid te organiseren binnen het Key2Control GRC-platform zijn kwaliteitsbeheerprocessen geborgd en zijn voortgang en resultaat altijd en overal inzichtelijk. Hierdoor kan gevraagd en ongevraagd direct verantwoording worden afgelegd. Wilt u meer weten over onze aanpak? Ik ben ervan overtuigd dat een persoonlijk gesprek direct toegevoegde waarde biedt.