Key2Control > Nieuws > Actueel > De functioneel applicatiebeheerder: sleutelfiguur voor de CISO bij informatiebeveiliging

De functioneel applicatiebeheerder: sleutelfiguur voor de CISO bij informatiebeveiliging

22 juli 2025 Actueel, Blogs, Informatiebeveiliging, Nieuws
functioneel applicatiebeheerder

In een eerdere blog “Follow the Data: terug naar de essentie van informatiebeveiliging” hebben we het belang van dataclassificatie uiteengezet als verdiepingsslag voorafgaand aan procesanalyse. Daarbij hebben we met name het perspectief van de CISO belicht, maar niet dat van de functioneel applicatiebeheerder (FAB). De FAB is een vaak onderschatte rol die essentieel is als het gaat om dataclassificatie. In deze blog belichten we dan ook het perspectief van de FAB bij dataclassificatie als onderdeel van informatiebeveiliging.

Door Gerrit Goud

De FAB in de frontlinie van informatiebeveiliging

De FAB is verantwoordelijk voor het veilig beheer en gebruik van applicaties. Niet vanuit techniek, die is in de meeste gevallen uitbesteed, maar juist vanuit de gebruikersorganisatie zelf. Een rol die vaak op de achtergrond blijft, maar in de praktijk cruciaal is voor de digitale weerbaarheid van organisaties. De rol van de FAB gaat sterk veranderen en verdient een professionaliseringsslag. De afgelopen jaren is het werkveld van de FAB dynamischer geworden als gevolg van digitalisering, cybersecurity en dergelijke.

De veranderde rol van de FAB

We kennen de FAB-rol al ruim dertig jaar. In die tijd is de digitale wereld echter ingrijpend veranderd. De hoeveelheid data is geëxplodeerd, privacy- en beveiligingseisen zijn aangescherpt, en dreigingen zijn complexer én sneller geworden. Deze veranderende rol heeft directe gevolgen voor zowel de verwachtingen als de risico’s wanneer het misgaat. In de praktijk zien we dat de FAB met zijn tijd meegaat, maar het blijft een uitdaging om structureel mee te groeien en bewegen. De professionele FAB onderkent inmiddels dat een goed werkende applicatie niet automatisch een veilig gebruikte applicatie is.

Toch klinken in de praktijk nog regelmatig uitspraken als:
“Daar heb ik geen tijd voor.”
“Dat zit niet in mijn takenpakket”
“Ik zie het nut er niet van in.”
“Ik doe mijn werk toch goed?”
“Dat is iets voor de ICT-afdeling.”

Binnen de context van wet- en regelgeving zoals de Cybersecuritywet (Cbw) en de geactualiseerde BIO2 kunnen dergelijke uitspraken ongemerkt leiden tot kwetsbaarheden in de keten – met mogelijk grote gevolgen.

FAB als sleutelfiguur voor de CISO

De functioneel applicatiebeheerder van nu is veel meer dan een brug tussen gebruiker en ICT. Het is een hoeder van veilig gebruik, een signaleerder van afwijkingen, een onmisbare schakel in risicobeheersing en een directe partner van de CISO. Wie deze verantwoordelijkheid niet erkent, of daarin onvoldoende wordt gefaciliteerd, vormt ongewild een zwakke schakel in de beveiligingsketen.

Organisaties moeten hun FAB’s erkennen, toerusten en betrekken als volwaardige spelers in het informatiebeveiligingsbeleid. Alleen dan transformeert de klassieke beheerdersrol naar een moderne veiligheidsfunctie die past bij de risico’s van vandaag.

Binnen dit geheel vormt de CISO het centrale aanspreekpunt. Hij of zij onderhoudt het contact met alle functioneel applicatiebeheerders en stuurt hen aan op het gebied van informatiebeveiliging. En ook hier geldt: de keten is zo sterk als de zwakste schakel. Als blijkt dat een FAB niet naar behoren functioneert, is er sprake van een alert, en zeker wanneer het gaat om kritieke applicaties onder zijn of haar beheer. In zulke gevallen is direct optreden noodzakelijk, waarbij het in het uiterste geval zelfs nodig kan zijn om de betreffende FAB te vervangen om het risico terug te brengen tot een aanvaardbaar niveau.

Investeer in de professionalisering van de FAB

Om de functioneel applicatiebeheerder daadwerkelijk de rol van sleutelfiguur in informatiebeveiliging te laten vervullen, is professionalisering onmisbaar. Dat begint met gerichte training en opleiding op het gebied van informatiebeveiliging, specifiek afgestemd op de verantwoordelijkheden van de FAB. Daarnaast is het essentieel dat er minimaal jaarlijks workshops worden georganiseerd waarin alle FAB’s samenkomen. Deze bijeenkomsten bieden een platform voor bewustwording, kennisdeling en het uitwisselen van praktijkervaringen.

Een duidelijke schriftelijke richtlijn voor de standaardisering van beheertaken op het gebied van informatiebeveiliging is eveneens noodzakelijk. Zo’n richtlijn verheldert niet alleen de rol van de FAB, maar maakt het bij de implementatie ook mogelijk om vroegtijdig eventuele zwakheden in de beveiliging van applicaties te signaleren en daarop gericht te acteren.

Daarnaast is het van belang om periodiek interne audits uit te voeren op het functioneren van de FAB’s, waarbij de eerder genoemde richtlijn als referentiekader dient. Interne audits maken deel uit van het eisenpakket van de vernieuwde BIO, houden de functioneel applicatiebeheerders scherp, dragen bij aan continue kwaliteitsverbetering en zorgen ervoor dat de organisatie haar verantwoordelijkheid op het gebied van informatiebeveiliging blijvend serieus neemt.

Samengevat

De digitale weerbaarheid van organisaties zal aanzienlijk toenemen door gericht te investeren in de professionalisering van FAB’s. Het gaat om een relatief kleine, goed benaderbare groep met directe invloed op het dagelijks veilig gebruik van applicaties waarin vaak gevoelige en kritieke gegevens worden verwerkt. Dáár ligt een sleutel tot échte digitale weerbaarheid.

Neem contact met ons op
Tags:

Dit vind je misschien ook interessant