Hoe pakken bedrijven hun informatiebeveiliging het best aan? Wie draagt de eindverantwoordelijkheid hiervoor? Drie deskundigen reageren op onze stelling: de IT-afdeling kan niet eindverantwoordelijk zijn voor informatiebeveiliging.

Drs. J.P. Barthel is coördinator cybersecurity-onderzoek bij de Nederlandse organisatie voor Wetenschappelijk Onderzoek (NOW). Stan Hegt is Manager Information Protection Services bij KPMG Advisory. Ben van Lier is directeur strategie en innovatie bij Centric.

Drs. J.P. Barthel

‘Het securitybeleid binnen bedrijven moet op het hoogste niveau worden vastgesteld. De directie moet als eigenaar van bedrijfsinformatie voldoende toegerust zijn om de beveiligingsopdracht aan de IT-afdeling te formuleren. Daartoe dienen in de boardroom what if-vragen te worden gesteld. Wat doe je als bedrijf als het internet twee dagen plat gaat? Wat betekenen ontwikkelingen als het nieuwe werken voor de bedrijfsbeveiliging? Wat als de in gebruik zijnde apparatuur of IT-infrastructuur geen eigendom is van het bedrijf? Het beantwoorden van dergelijke vragen draagt bij aan de beveiliging van bedrijfsinformatie en het besef dat verder onderzoek noodzakelijk is. Samenwerking tussen bedrijfsleven en wetenschap kan ertoe leiden dat bestaande onderzoeksresultaten direct in de praktijk worden toegepast. Het kan ook helpen nog niet opgeloste vraagstukken te beantwoorden. De internetrevolutie gaat door, daarom zal er de komende jaren nog veel te onderzoeken zijn. Techniek en kennis schrijden voort, ook bij personen die er geen goede bedoelingen mee hebben. In die wedloop moeten we mee.’

Stan Hegt

‘IT is een van de belangrijkste succesfactoren voor een bedrijf. De risico’s die het met zich meebrengt zijn daarom risico’s voor de hele bedrijfsvoering. Maar de IT-afdeling heeft een te beperkte blik op de bedrijfsvoering om de eindverantwoordelijkheid over informatiebeveiliging te dragen. Bovendien liggen tegenstrijdige belangen op de loer. IT-afdelingen werken over het algemeen met harde deadlines, nieuwe computersystemen worden vaak onder hoge druk opgeleverd. Dit kan conflicteren met het belang van informatiebeveiliging. Verder gaat het bij informatiebeveiliging om meer dan alleen IT-maatregelen. Zo speelt ook het gedrag van medewerkers een rol. Informatiebeveiliging doe je dan ook samen. Afdelingen zoals communicatie en juridische zaken dienen erbij betrokken te worden. Er ligt een primaire verantwoordelijkheid bij de afdelingshoofden, die voor hun afdeling maatregelen moeten nemen en verantwoordelijk zijn voor de handhaving. De eindverantwoordelijkheid voor informatiebeveiliging ligt op boardniveau.’

Ben van Lier

‘Informatiebeveiliging is een belangrijke verantwoordelijkheid van de IT-afdeling, maar niet van deze afdeling alleen. IT-security houdt zich bezig met infrastructuur en software, maar gaat ook over het gedrag van mensen en de aandacht die leidinggevenden voor security hebben. Je ziet nog vaak dat mensen wachtwoorden laten slingeren en allerlei informatie aan iedereen doorgeven. Als er vanuit de directie geen aandacht is voor informatiebeveiliging, vindt de rest van de organisatie het ook niet belangrijk. Als het dan misgaat, komt men snel in een sfeer van blaming en shaming. Wij hebben de afgelopen twintig jaar het internet opgebouwd zonder serieus stil te staan bij het beveiligingsvraagstuk. Er zijn nauwelijks mensen opgeleid die zich daar serieus mee bezighouden. Tussen 1990 en 2008 is er nauwelijks over security nagedacht. De samenleving heeft de veiligheid van ICT aan zich voorbij laten gaan. Wat je in de kranten aan problemen leest, is nog maar de buitenkant. Met de snelle ontwikkeling van het internet of things en het industrial internet zal de industriële kant van informatiebeveiliging nog veel belangrijker worden.’

Meer weten? Lees hier onze white papers over dit thema.