Bedrijfscontinuïteits management en de rol van de CISO
Wat is de meerwaarde van bedrijfscontinuïteitsmanagement (BCM)? Op welke manier kun je BCM structureel organiseren als onderdeel van integrale interne beheersing? En daarbij: wat is de rol van de CISO in het kader van bedrijfscontinuïteitsmanagement? De CISO heeft tenslotte te maken met BCM zoals blijkt uit hoofdstuk 17 van de BIO, NEN 7510 of ISO 27002. In mijn dagelijkse praktijk zie ik veel CISO’s worstelen met hun rol en verantwoordelijkheden als het gaat om hoofdstuk 17 met als gevolg dat verbeteringen niet of nauwelijks plaatsvinden voor dit onderwerp. Voor mij is dat reden om in deze blog hierop nader in te gaan.
Door Gerrit Goud
Informatiebeveiligingsaspecten van bedrijfscontinuïteitsbeheer
Weliswaar impliceert hoofdstuk 17 dat de organisatie aandacht moet besteden aan BCM (Business Continuity Management), maar dat is niet de verantwoordelijkheid van de CISO. De rol van de CISO rond BCM is slechts beperkt tot de informatiebeveiligingsaspecten van bedrijfscontinuïteitsbeheer. Dit betekent dat vanuit het perspectief van informatiebeveiliging moet worden nagegaan of er waarborgen zijn dat de informatie/data van de organisatie tijdens een calamiteit of crisis passend beveiligd is. Want in zo’n situatie neemt de kans toe dat (betrouwbare) informatie opeens op straat komt te liggen, denk bijvoorbeeld aan datalekken of het niet meer beschikbaar hebben van informatie.
Organisatiebreed bedrijfscontinuïteitsmanagement
De verantwoordelijkheid voor bedrijfscontinuïteits management ligt bij het bestuur als eindverantwoordelijke en bij de directie als operationeel verantwoordelijke. Daarnaast gaat BCM niet alleen over het beschikbaar houden van (digitale) informatie onder alle omstandigheden vanuit ICT, maar ook om het beschikbaar houden van (gekwalificeerd) personeel, de veiligheid van personeel, het archiefbeheer (digitaal én analoog) alsmede de huisvesting voor het garanderen van de continuïteit van kritische bedrijfsprocessen. Bedrijfscontinuïteits management is dus een organisatiebreed onderwerp met een groot aantal relevante stakeholders en vele onderlinge afhankelijkheden die op elkaar afgestemd moeten worden.
De urgentie van BCM
Vanuit mijn praktijk zie ik CISO’s worstelen met het vraagstuk over BCM en daardoor niet verder komen met verbeteringen in hoofdstuk 17 van de BIO, NEN7510 of ISO27002. Dat komt op de eerste plaats omdat de CISO een van de weinige functionarissen in de organisatie is die vanuit zijn rol aandacht moet vragen voor BCM. Dat vereist dan wel de nodige kennis over BCM anders blijft BCM een containerbegrip en dan is het lastig de noodzaak en urgentie van dit onderwerp onder de aandacht te brengen van de directie en het bestuur.
BCM gezamenlijk en gestructureerd aanpakken en borgen
Op de tweede plaats weet de CISO vaak niet wat andere collega’s op het terrein van BCM doen. Denk in dit kader bijvoorbeeld aan privacybescherming, informatie- en archiefbeheer, verzekeringen en de toereikendheid van de financiële liquiditeiten voor het opvangen van een calamiteit of crisis. Veelal is dit versnipperd in de organisatie en heeft niemand in de organisatie het totale plaatje in beeld rond BCM. Tenslotte is het voor de CISO en alle andere professionals in de organisatie veelal moeilijk om zo’n onderwerp als BCM gezamenlijk volgens een gemeenschappelijke aanpak en structuur op te pakken en te borgen.
Quick scan als opmaat naar een BCMS
Om de CISO te ondersteunen biedt de Key2Control software het Business Continuity Management Systeem (BCMS). Het inzetten van een BCMS ervaren veel organisaties wel als een grote stap. Om niet te struikelen tijdens de implementatie van een BCMS voeren we vaak als 1e stap een Quick Scan Bedrijfscontinuïteitsbeheer uit. Deze Quick-Scan levert een rapportage op waaruit onder meer blijkt waar de organisatie staat op het gebied van BCM vanuit een twaalftal invalshoeken. Het rapport is bedoeld voor de directie en het bestuur. Dit rapport biedt een eerste stap voor het doorvoeren van structurele verbeteringen vanuit een top down benadering. In die zin is dit rapport een richtsnoer en tegelijkertijd gericht op het vergroten van bewustwording rond nut en noodzaak van bedrijfscontinuïteit onder relevante stakeholders. Daarmee wordt de stap naar het succesvol inzetten van het BCMS ook een stuk makkelijker. De aanpak in de software is namelijk heel pragmatisch en gericht op het borgen van bedrijfscontinuïteitsbeheer volgens de principes van interne beheersing waaronder een PDCA-cyclus. Dat zijn dezelfde principes die ook gehanteerd worden bij een ISMS, dat bekend terrein is van de CISO.
Meer informatie?
Wil je meer weten over de Quick Scan Bedrijfscontinuïteit of over onze aanpak naar een BCMS, neem dan gerust contact met ons op.
Webinar
We organiseren webinars om deze aanpak met de inzet van Key2Control software verder toe te lichten. Het eerstvolgende informatieve webinar over bedrijfscontinuïteits management wordt gegeven op 8 juni.