Voor betrouwbaar zicht op de informatiebeveiliging is neutrale rapportage essentieel. Doe daarom 'trias securitatis', beleid dat te vergelijken is met de 'Scheiding der machten' van Montesquieu in 1748.
In het gemiddelde bedrijf is er één de baas en voeren de anderen het plan van de baas uit. Dat is een goede zaak, want meer dan één stuurman maakt stuurloos. Zodra een bedrijf groter wordt zijn sommige medewerkers op hun beurt weer baas over andere medewerkers die… Afin, je begrijp het al, er ontstaat een soort 'commandoketen'. Zoals we allemaal op de lagere school hebben geleerd, communiceert dat lastig: een boodschap die je aan het begin van de keten erin stopt komt er aan het andere eind vaak heel anders uit. Herinner je je het kringetje en dan fluisteren in elkaars oor? De bedoeling gaat onderweg nogal eens verloren, want we kunnen alleen doorvertellen wat we (denken te) hebben gehoord en voegen daar onze eigen ideeën aan toe. Hoe weet de bovenbaas nu zeker dat zijn opdracht heel overkomt? Hij moet controleren!
Stel je nu eens voor dat diezelfde keten terug moet rapporteren over dreigingen en incidenten en zo eigenlijk zichzelf moet controleren. Dat gaat dus niet zomaar goed en al helemaal niet als het om informatiebeveiliging gaat. Net als de slager die zijn eigen vlees moet keuren. Managers en beheerders hebben nu eenmaal andere belangen dan informatiebeveiligers. De een gaat voor beschikbaarheid en capaciteit, de ander voor veiligheid als hoogste doel. Alleen de baas kan die dingen afwegen. De controle moet dus liefst via een aparte (security-)keten plaatsvinden en rapporteren aan de eigenaar van de ondernemingsrisico's.
De informatievoorziening van de security officer is van een andere orde dan die van de beheerders. Deze zijn specialistisch van aard en meestal niet gericht op álle systemen en netwerken van een onderneming. Alleen de kritische systemen verdienen belangstelling. Deze informatie is daarna natuurlijk ook beschikbaar voor de beheerders, die er graag hun voordeel mee doen. Want laat over één ding geen misverstand bestaan: beheerders willen graag veilig werken, maar moeten wel de juiste informatie en middelen krijgen. Voorzie daarom jouw security officer van eigen middelen voor informatievergaring. Een security monitoring-oplossing in dienstvorm kan uitkomst bieden:
– het valt dan geheel onder de verantwoordelijkheid van de security officer;
– het vergt geen project dat moet concurreren om budget;
– het biedt optimale mogelijkheden voor onafhankelijke rapportage naar de baas.
Zo krijgt de 'trias securitatis' effectief vorm: opdrachtgever, opdrachtnemer en toezichthouder zorgen samen voor effectieve informatiebeveiliging.
André Beerten
GlidePath