ISMS en het gebruik van GRC-tooling
Een BIO-logische ontwikkeling naar integrale interne beheersing
door drs. Gerrit Goud RE RA
Om maar gelijk met de deur in huis te vallen: een GRC-tooling is geen ISMS ofwel een informatiemanagementsysteem voor informatiebeveiliging. Een GRC-tooling ondersteunt wel het intern beheersingsproces rond informatiebeveiliging dat een belangrijk onderdeel is van het ISMS evenals voor privacybescherming, de financiële rechtmatigheid of voor welk ander thema dan ook. En daarmee komt een GRC-oplossing in relatie tot informatiebeveiliging opeens in een ander en veel breder daglicht te staan. In deze blog gaan we in op de vraag wat nu eigenlijk GRC is en wat de toegevoegde waarde is van een GRC-tooling?
Wat is GRC?
Het acroniem GRC staat voor Governance, Risk & Compliance en die vertegenwoordigen drie belangrijke bouwstenen van interne beheersing. In eerdere blogs is het begrip interne beheersing al eens uitgediept. Eigenlijk zou het acroniem GRCIPE moeten zijn, waarbij de ‘I’ staat voor internal control, de ‘P’ voor perfomance en ‘E’ voor ethics & culture. Alleen dat bekt niet. Dus vandaar GRC.
Het GRC-denken vindt zijn oorsprong vanuit de financiële wereld en de interne beheersing daaromheen. GRC is de afgelopen decennia uitgegroeid tot integrale interne beheersing in een organisatiebreed perspectief. Dus niet enkel het financieel domein, maar ook voor elk ander thema dat een organisatie wenst te beheersen, zoals informatiebeveiliging, privacybescherming en informatiebeheer. GRC wil dus niet zeggen dat alles geautomatiseerd is, nee. GRC is een ‘way of life’ voor een organisatie; een manier van denken, organiseren en handelen (samenwerken, verbinden) gericht op het realiseren van betrouwbare doelstellingen waarbij onzekerheden worden aangepakt en integer gehandeld wordt. Belangrijke drivers om dit te willen realiseren zijn naast doelrealisatie, kwaliteitsverhoging en (aanzienlijke) kostenbesparing op de interne beheersing door onder meer het bevorderen van integratie en het voorkomen van verzuiling.
GRC is dus heel sterk gericht op de principes (bouwstenen) van integrale interne beheersing om grip te behouden op elke gewenst thema.
Wat is GRC-tooling?
GRC-tooling ondersteunt het GRC-denken en is gericht op functionaliteit die:
- de principes van interne beheersing bevordert,
- toegevoegde waarde biedt op het gebied van interne beheersing in termen van kwaliteitsverbetering en kostenbesparing voor elk thema,
- gericht is op het voorkomen van versnippering van beheersingsinformatie en
- een deugdelijke audittrail bevat voor auditors en toezichthouders (data-integriteit).
Dit impliceert dat een GRC-tooling die alleen gericht is op informatiebeveiliging of privacy leidt tot een vorm van suboptimalisatie als het gaat om integrale interne beheersing. En dat druist nu juist in tegen het GRC-denken (verzuiling). Gebruikers die beheersingsinformatie moeten leveren, haken dan uiteindelijk af vanwege het versnipperde geautomatiseerde GRC-landschap en het niet kunnen delen van beheersingsinformatie vanuit verschillende thema’s.
Een ander belangrijke functionaliteit voor een GRC-tooling is een deugdelijke audittrail die onlosmakelijk verbonden is met interne beheersing. Immers beheersingsinformatie moet betrouwbaar zijn en is niet alleen bedoeld voor de eigen organisatie maar ook voor toezichthouders en auditors. Zij moeten kunnen steunen op een deugdelijke audittrail anders heeft beheersingsinformatie weinig toegevoegde waarde. Het kan dus niet zo zijn dat uitkomsten die niet bevallen, kunnen worden verwijderd zonder een spoor achter te laten door een simpele druk op de knop of dat gegevens in de database kunnen worden aangepast zonder een spoor achter te laten in de applicatie. Dit past ook niet vanuit het principe van integriteit (integer handelen) dat een wezenlijk onderdeel is van interne beheersing.
Visie en ambitie
Het gebruik van GRC-tooling vereist visie en ambitie vanuit de top gericht op integrale interne beheersing. Dan gaat het in eerste instantie niet over de inzet van tooling, want dat is slechts een middel, maar over de wijze hoe de organisatie de kwaliteit van interne beheersing wenst te vergroten en tegelijkertijd hierop kosten kan besparen. Zoals in een eerdere blog is aangegeven, ligt die uitdaging bij de concerncontroller. Die gaat immers over het brede domein van interne beheersing. De top dient het fundament te leggen voor integrale interne beheersing die van toepassing is op alle thema’s die de organisatie wenst te beheersen. Als dit fundament er is dan biedt dit een duurzame oplossing voor de concerncontroller, CISO, privacy officer en alle andere ‘poortwachters’ om hun thema’s vanuit interne beheersing verder uit te bouwen.
Noodzaak GRC-tooling
De noodzaak tot het borgen van beheershandelingen wordt versterkt door de alsmaar toenemende druk vanuit extern toezicht en het afleggen van (niet-financiële) verantwoording op allerlei thema’s. Veel gemeenten roepen dan via de bekende weg dat extra capaciteit (fte’s) nodig is om hieraan tegemoet te komen. Vanuit die benadering zullen eveneens de kosten voor interne beheersing toenemen en dat is voor vele organisaties ongewenst. Een betere en duurzame oplossing is de inzet van GRC-tooling met de juiste functionaliteit waarbij de focus gericht is op integrale interne beheersing. Het zoveel mogelijk standaardiseren van het proces interne beheersing door gebruik te maken van GRC-tooling kan zelfs de huidige kosten van interne beheersing aanzienlijk beperken (>100k) en tegelijk de kwaliteit van interne beheersing doen toenemen. Organisaties worden hierdoor minder kwetsbaar als belangrijke spelers in het veld van interne beheersing uitvallen wat regelmatig gebeurt. Het GRC-platform draait immers gewoon door met bestaande en eventuele nieuwe spelers en taken kunnen eenvoudig worden overgeheveld. Ook kennis en informatie blijft behouden bij vertrek van belangrijke spelers vanwege eerdere vastleggingen in de GRC-tooling. Alleen dit facet biedt al aanzienlijke besparingen op.
Heroriëntatie over interne beheersing in combinatie met visie en ambitie zoals eerder vermeld biedt volop kansen voor een verbeterslag en kostenbesparing.
Wat is een ISMS?
De IBD omschrijft een ISMS[1] als het continu beoordelen of beveiligingsmaatregelen passend en effectief zijn, en of deze bijgesteld moeten worden. Het helpt de gemeenten onder andere om risico’s te beheersen, passende beveiligingsmaatregelen te treffen, lering te trekken uit incidenten en daarmee de betrouwbaarheid van de informatievoorziening en bedrijfscontinuïteit te waarborgen. Voor het opzetten, implementeren en onderhouden van een ISMS hanteert de IBD de volgende 10-stappenplan.
- Inzicht verkrijgen in de gemeentelijke organisatie en haar context
- Vaststellen doelstelling van het ISMS
- Vaststellen scope van de ISMS-invoering
- Verkrijgen van steun van het management van de gemeente
- Het definiëren van een methode van risicobeoordeling
- Inzicht verkrijgen in de risico’s
- Opstellen jaarlijks informatiebeveiligingsplan
- Het opstellen van aanvullend beleid voor het beheersen van risico’s
- Het toewijzen van middelen, opleidingen en training
- Bewaken van de invoering van het ISMS
Het gaat hier om beheershandelingen die ondersteund kunnen worden met GRC-tooling als het gaat om beheersingsinformatie. De principes van interne beheersing zijn uit de omschrijving van de IBD in grote lijnen te herleiden.
De vraag is nu wat voor functionaliteit dan beschikbaar moet zijn in een GRC-tooling die het thema informatiebeveiliging ondersteunt. Daarover zijn de meningen behoorlijk verdeeld. De een vindt dat functionaliteit voor contractenbeheer of incidentenbeheer beschikbaar moet zijn, de ander vindt dat dataclassificatie inclusief baselinetoets ondersteund moet worden. En natuurlijk zijn dit belangrijke zaken, maar als je zo doorredeneert en hierbij ook direct aanpalende thema’s zoals privacy en informatiebeheer erbij betrekt dan is de kans groot dat het spreekwoordelijke ‘kind met een waterhoofd’ ontstaat dat uiteindelijk in schoonheid sterft. Voor een deel heeft dit te maken met onbekendheid van het GRC-denken bij CISO’s, privacy officers en FG’s. Dat is op zich wel begrijpelijk omdat kennis van interne beheersing meer ontplooit is in het financieel domein. Daarnaast druist dit in op het GRC-denken die juist gericht is op het bevorderen van integratie en dat lukt niet als voor elk thema aanvullende functionaliteit wordt toegevoegd.
Als we bovenstaande zouden vergelijken met een formule 1 racewagen dan weten we dat deze wagen ontwikkeld is om een race te winnen. Dan gaan we er geen trekhaak aan bevestigen, ook geen knipperlichten, koplampen, airbag, navigatiesysteem of een reserveband voorzien van een krik, toch? Datzelfde principe geldt eveneens voor een GRC-tooling. Die is gebouwd voor integrale interne beheersing en als je wel toegeeft aan al dat soort extra functionaliteit dan is de kans groot dat de applicatie wordt ervaren als te complex, te ingewikkeld, te veel beheer en niet gebruikersvriendelijk en uiteindelijk niet (meer) wordt gebruikt.
De weg naar integrale interne beheersing
Opvallend is dat GRC-tooling bij veel gemeenten geïntroduceerd is vanuit informatiebeveiliging en niet zozeer vanuit het financieel domein waar je dit eerder zou verwachten. Daarin gaat verandering komen vanwege de rechtmatigheidsverklaring vanaf 2021. Er zal behoefte ontstaan naar de inzet van GRC-tooling die in staat is integrale interne beheersing te ondersteunen waarbij eigenaarschap in de 1e verdedigingslijn een cruciale rol vervult. En laat nou net dat eigenaarschap eveneens een cruciale rol spelen bij de implementatie van de Baseline Informatiebeveiliging voor Overheden (BIO) en privacybescherming en dan zie je de meerwaarde van het GRC-denken. Door de concerncontroller in positie te brengen om het eigenaarschap gemeentebreed te regelen vanuit een visie en aanpak over integrale interne beheersing, wordt daarmee tegelijk het pad vereffend voor de CISO en privacyofficer. Het spreekwoordelijk gezegde “alleen ga je sneller, samen kom je verder” is hierop geheel van toepassing. Dat geldt eveneens voor de inzet van een GRC-tooling die integrale interne beheersing ondersteunt.
GRC-platform van Key2Control
De aanleiding van deze blog was het gebruik van GRC-tooling in relatie tot ISMS. Uiteengezet is wat GRC inhoudt en dat functionaliteit van GRC-tooling gericht is op integrale interne beheersing met als doel kwaliteitsverbetering en kostenbesparing door het realiseren van integratie en het voorkomen van verzuiling. De behoefte naar integrale interne beheersing neemt steeds meer toe en daarvoor is GRC-tooling nodig die daarop aansluit. Maar zo’n tooling behoort wel aan een aantal minimale eisen te voldoen waaronder een deugdelijke audittrail.
Onze klanten die op dit moment het GRC-platform van Key2Control inzetten voor informatiebeveiliging en/of privacy kunnen eenvoudig opschalen naar andere thema’s zoals financiële rechtmatigheid met als groot voordeel dat alle thema’s geborgd worden volgens dezelfde principes van interne beheersing. Voor concerncontrollers reden te meer om kennis te maken met ons GRC-platform.
Bent u geïnteresseerd in onze visie en aanpak en wilt u meer weten, bel dan gerust voor een afspraak. Wij zijn ervan overtuigd dat een persoonlijk gesprek direct toegevoegde waarde biedt.
[1] Zie versie IBD 2.1, juli 2019