Goede beschrijving van de governance voor risicomanagement

[Aethedor]

Samenvatting De BIO2 behoort een heldere beschrijving van de governance rondom risicomangement te benoemen.

Achtergrond Nu is informatiebeveiliging vaak een uitdaging voor de CISO, de ICT-manager en de overige bekende functionarissen. Informatie behoort niet toe aan de CISO. Lijnmanagers zijn eigenaar van informatie, of behoren dat te zijn als dat nog niet goed is ingericht. Bij dat eignaarschap hoort ook zorgplicht. De CISO is slechts een adviseur of iemand die kan ondersteunen bij het beheersen van (digitale) risico's.

Voorgestelde oplossing Een organisatie behoort informatie-eigenaarschap in te richten. De hoogste bestuurder in een organisatie is aan zet om dat in gang te zetten. Een CIO kan daar bij ondersteunen. De hoogste bestuurder behoort de verantwoordelijkheden bij dat eigenaarschap aan te geven. Dat is in ieder geval inclusief het beheersen van risico's voor die informatie. De hoogste bestuurder zorgt dat ondersteuners met de juiste kennis voor de informatie-eigenaren beschikbaar zijn (CISO, CIO, FG, functioneel beheerders, etc), zodat zij invulling kunnen geven aan hun verantwoordelijkheid. Bij verantwoordelijkheid hoort verantwoording, dus de hoogste bestuurder rekent de informatie-eigenaren af op de invulling van hun verantwoordelijkheid.

Aanvullende context In de NIS2 en de Cyberbeveiligingswet gaat dit ook fout. Ook daar heb ik mijn reactie achter gelaten. Zie https://internetconsultatie.nl/cyberbeveiligingswet/reactie/e214647b-0bb5-4545-ad12-fe668a8c2ff6

Hugo Leisink

[RoelBrandDeurne]

Ik stel voor om voor governance rondom risicomanagement aan te sluiten bij het 3-lines model van de IIA: https://www.iia.nl/kenniscentrum/vaktechnische-publicaties/three-lines-model-updated---nl

Wij passen dit als volgt toe:

• Bestuurder - het college van b&w en de burgemeester;
• Senior management - gemeentesecretaris, eventueel geflankeerd door andere strategisch leidinggevenden;
• 1ste lijn, Uitvoering - tactisch/operationeel leidinggevenden (teammanagers) en vakspecialisten maar ook functioneel beheerders, gegevensbeheerders en procesbeheerders die onder directe aansturing van de teammanager vallen);
• 2de lijn, Ondersteuning - adviseurs en risico- en compliance professionals zoals CISO en PO;
• 3de lijn, Internal audit - ook de FG hoort hier m.i. thuis als onafhankelijk intern toezichthouder.

[dvebzk]

@Aethedor en @RoelBrandDeurne Dankjewel voor jullie feedback. We hebben in de Inleiding van de BIO2 het onderwerp Governance opgenomen.

Ik hoor graag hoe jullie hier naar kijken.

[Aethedor]

@dvebzk Nice! Dat belooft al heel wat!

Lijnmanagement is inderdaad informatie(systeem)-eigenaar, maar waar komt dat eigenaarschap vandaan en wat houdt dat in? Ik zou bij de bestuurder aangegeven dat de bestuurder verantwoordelijk is voor het aanwijzen van de eigenaren. En als we het helemaal goed doen, ook dat de bestuurder verantwoordelijk is voor lijnmanagers afrekenen op hun invulling van dat eigenaarschap.

Lijnmanagers zijn verantwoordelijk voor het identificeren van dreigingen en risico's. Da's mooi. Maar niet voor het beheersen ervan? In de regel erna wordt meteen weer verwezen naar de verplichte maatregelen. Daarmee blijft BIO2 hangen op een maatregel-gestuurde norm en wordt het geen risico-gestuurde norm. Noem expliciet het beoordelen van risico's en het selecteren en doorvoeren van passende maatregelen.

Daarmee komt ook een maatregel-eigenaar om de hoek kijken. Dat hoeft niet per se dezelfde te zijn als de risico-eigenaar. Ik kan als informatie-eigenaar risico-eigenaar worden, maar de mitigerende ICT-maatregelen bij de ICT-manager neerleggen. Dat vereist goede afspraken, maar ook een zekere organisatie-cultuur om dat te kunnen doen. Voor dat laatste is de bestuurder weer aan zet.

[PSSkyu]

@Aethedor en @RoelBrandDeurne Dankjewel voor jullie feedback. We hebben in de Inleiding van de BIO2 het onderwerp Governance opgenomen.

Ik hoor graag hoe jullie hier naar kijken.

Fijn om dit voorstel te zien. Maar nog mooier zou zijn om bewust het IIA te benoemen als de standaard voor toekomstbestendigheid en een reeds gedragen model. Daar bovenop kan dan de verscherping komen van de 1e (lijnmanagement) en 2e lijns rollen (CISO) zoals nu staat omgeschreven. Maar nog scherper het bestuursorgaan en Internal Audit (incl. FG).

Dit haakt ook in op andere stelsel ontwikkelingen binnen de overheid. Denk aan CIO-stelsel, en CPO en CDO.

[RoelBrandDeurne]

@dvebzk Excuses voor mijn late reactie. De tekst over Governance gaat behoorlijk de goede kant op.

Nog een paar suggesties:

• Wanneer we, zoals @PSSkyu voorstelt, expliciet naar het IIA model zouden verwijzen, hoeft er minder beschreven te worden. Dan is de tekst die er staat uitleg en duiding van het model, maar is volledigheid minder belangrijk. Immers, er ligt een bekend en elders goed beschreven model onder.
• Het bestuur stelt de beleidskaders en criteria vast voor risicobeheersing, draagt het uitvoeren van risicobeheersing op aan het lijnmanagement en laat hierover rapporteren.
• Lijnmanagement is verantwoordelijk voor het identificeren, analyseren én behandelen van risico's binnen de door het bestuur bepaalde kaders en criteria voor risicomanagement. Deze verantwoordelijkheid kan niet worden overgedragen. Wel kan het uitvoeren van een risicobeheersingsmaatregel worden overgedragen. @Aethedor benoemt dit ook.
• De CISO bepaalt niet het informatiebeveiligingsbeleid. Het bestuur bepaalt op advies van de CISO het (strategisch) beleid en draagt uitvoering hiervan op aan het lijnmanagement. De CISO adviseert ook aan het lijnmanagement over tactisch informatiebeveiligingsbeleid om risico's te beheersen en over de interpretatie en toepassing van het beleid. De CISO coördineert en monitort de uitvoering van het beleid en rapporteert hierover gevraagd en ongevraagd aan lijnmanagement en bestuur. Let op dat de CISO niet verantwoordelijk is voor de voortgang in identificeren, analyseren en beheersen van risico's met maatregelen. Dat ligt bij het lijnmanagement.
• De Interne toezichthouder vind ik nog wat dun omschreven. Ik heb echter niet direct een suggestie voor wat er meer moet staan.

Vraag:

• In de BIO1 werd steeds verwezen naar de secretaris en naar de proceseigenaar. Nu stappen we over op lijnmanagement. Gaat dat verwarring zaaien en/of is extra uitleg nodig? Mijn interpretatie is dat de secretaris ambtelijk eindverantwoordelijk is voor de uitvoering van het bestuurlijk opgedragen beleid en het beheersen van risico's. Het lijnmanagement daaronder draagt gewoonlijk de rollen van proceseigenaar en informatiesysteemeigenaar. (Waarbij een informatiesysteemeigenaar meerdere proceseigenaren kan bedienen, bijvoorbeeld bij een organisatie breed zaaksysteem.)