In het gemiddelde bedrijf is er één de baas en voeren de anderen het plan van de baas uit. Dat is een goede zaak, want meer dan een stuurman maakt stuurloos.
Zodra een bedrijf groter wordt zijn sommige medewerkers op hun beurt weer baas over andere medewerkers die… Afijn, u begrijpt het al: er ontstaat een soort ‘commandoketen’.
Zoals we allemaal op de lagere school hebben geleerd communiceert dat lastig: een boodschap die je aan het begin van de keten erin stopt komt er aan het andere eind vaak heel anders uit. Herinnert u zich het kringetje en het fluisteren in elkaars oor?
De bedoeling gaat onderweg nogal eens verloren want we kunnen alleen doorvertellen wat we (denken te) hebben gehoord en voegen daar onze eigen ideeën aan toe. Hoe weet de bovenbaas nu zeker dat zijn opdracht heel overkomt? Hij moet controleren!
Stelt u zich nu eens voor dat diezelfde keten terug moet rapporteren over dreigingen en incidenten en zo eigenlijk zichzelf moet controleren. Dat gaat dus niet zomaar goed en al helemaal niet als het om informatiebeveiliging gaat. Net als de slager die zijn eigen vlees moet keuren. Managers en beheerders hebben nu eenmaal andere belangen dan informatiebeveiligers. De een gaat voor beschikbaarheid en capaciteit, de ander voor veiligheid als hoogste doel. Alleen de baas kan die dingen afwegen. De controle moet dus liefst via een aparte (security-)keten plaatsvinden en rapporteren aan de eigenaar van de ondernemingsrisico’s.
De informatievoorziening van de securityofficer is van een andere orde dan die van de beheerders: specialistisch van aard en meestal niet gericht op álle systemen en netwerken van een onderneming. Alleen de kritische systemen verdienen belangstelling.
Deze informatie is daarna natuurlijk ook beschikbaar voor de beheerders, die er graag hun voordeel mee doen. Want laat over één ding geen misverstand bestaan: beheerders willen graag veilig werken, maar moeten wel de juiste informatie en middelen krijgen. Voorzie daarom uw securityofficer van eigen middelen voor informatievergaring.
Een securitymonitoring oplossing in dienstvorm kan uitkomst bieden. Die valt geheel onder de verantwoordelijkheid van de securityofficer, vergt geen project dat moet concurreren om budget en biedt optimale mogelijkheden voor onafhankelijke rapportage naar de baas. Zo krijgt de ‘trias securitatis’ (een variant op Montesquieus scheiding der machten) effectief vorm: opdrachtgever, opdrachtnemer en toezichthouder zorgen samen voor effectieve informatiebeveiliging.
André Beerten, SOC solution manager bij GlidePath
