Wie is verantwoordelijk voor IT-security?

Leidinggevenden in IT worstelen met de almaar groeiende cyberdreigingen. En dat terwijl online misdaad maar één aspect is van veiligheid binnen het bedrijf. Wie is er nu verantwoordelijk: de CIO, de CISO, de CEO of iedereen? Vijf willekeurige experts geven tips en hun mening.

1. Zorg dat security de verantwoordelijkheid is van elke werknemer

Wie er verantwoordelijk is voor IT-beveiliging binnen een bedrijf? “De grote baas, en de rest”, vindt David Allison van bouwgroep Aggregate Industries in Engeland. “De CEO is aansprakelijk, maar elke medewerker moet zijn eigen verantwoordelijkheid nemen. Security gaat niet over vergrendeling en preventie. Een goede beveiliging heeft alles te maken met opleiding, bewustzijn en individuele verantwoordelijkheid.”

[related_article id=”161920″]

Allison vindt dat de CEO er persoonlijk op moet toezien dat het personeel goed wordt getraind op alle fronten, van omgaan met e-mail en verdachte links tot wachtwoorden instellen. “Security moet ingebed zijn in de bedrijfscultuur.”

2. Vertrouw niet op technologie

De bedrijfseigenaar of het bestuur blijft altijd aansprakelijk, vindt ook Tim Holman, president van de Britse Information Systems Security Association. Het bestuur kan hier een CIO, CISO (chief information security officer) of IT-manager voor aanstellen, maar deze personen kunnen nooit verantwoordelijk worden gehouden.

“Bedrijven moeten beseffen hoe groot het risico is als ze online zaken doen of data in de cloud zetten”, zegt Holman. “Ook al krijgt de CIO de taak om een clouddienst te implementeren, het bedrijf blijft aansprakelijk als er iets misgaat.” Ondernemingen moeten beginnen met een simpele risicoanalyse. “Cyberdreigingen los je niet op door producten te kopen. Gezond verstand moet ertoe leiden dat de hoeveelheid opgeslagen gevoelige data wordt verminderd en dat de toegang ertoe beperkt is. Dat is veel effectiever en goedkoper dan de nieuwste oplossing van een verkoper.”

3. Beheers de gevaren van mobiele toestellen

“Als je als CIO niet vooroploopt in security ben je niet geschikt voor je job.” Dat vindt David Reed, IT-baas van de Press Association. Mobile management vindt hij het belangrijkst. De journalisten van zijn persdienst lopen altijd rond met gevoelige informatie. De dreiging dat ze worden gehackt is veel kleiner dan de kans dat hun toestel wordt gestolen of kwijtraakt.

Daarom gebruikt de organisatie Samsungs mobiele beveiligingssysteem Knox. “Daarmee worden werkdocumenten op het toestel apart opgeslagen, los van al het persoonlijke. Binnen deze ‘container’ raden we ook speciale apps aan”, zegt Reed.

4. De CEO moet security sponsoren

Omid Shiraji, CIO van Working Links, ziet IT-security wél als een product. “Het is handelswaar die je van een leverancier kunt kopen. Dat geldt ook voor business-security. De processen en het toezicht erop kun je bestellen als een managed service.” Volgens Shiraj moet de CEO hier voldoende budget voor beschikbaar stellen. “De mensen in het bedrijf gaan hun gedrag aanpassen als ze de CEO erover horen spreken”, zegt hij. “IT-security is de taak van elke werknemer, maar de CEO moet het sponsoren.”

5. Schep een risicobewuste cultuur

Shiraji vindt dat de meeste bedrijven geen behoefte hebben aan een CISO. Maar Julian Self, die als CIO bij meerdere financiële bedrijven werkte, ziet dat totaal anders. Het belang van de CISO groeit hard volgens hem. Het is de taak van de CIO om de bedrijfstop op de voordelen van zo"n securityspecialist te wijzen.

“In een hyperverbonden wereld en met de komst va het internet der dingen wordt de klus om de informatie van een bedrijf te beveiligen almaar complexer. De CISO moet zorgen voor een pragmatische instelling en een cultuur van risicobewustzijn, zodat informatiebeveiliging onderbewust deel uitmaakt van de hele bedrijfsvoering”, aldus Self.