Wat is de rol van de CISO in het kader van BCM?

Weliswaar impliceert hoofdstuk 17 dat de organisatie aandacht moet besteden aan BCM, maar dat is niet de verantwoordelijkheid van de CISO. De rol van de CISO rond BCM is slechts beperkt tot de informatiebeveiligingsaspecten van bedrijfscontinuïteitsbeheer. Dit betekent dat vanuit het perspectief van informatiebeveiliging moet worden nagegaan of er waarborgen zijn dat de informatie/data van de organisatie tijdens een calamiteit of crisis passend beveiligd is. Immers in zo’n situatie neemt de kans toe dat (betrouwbare) informatie opeens op straat komt te liggen, denk bijvoorbeeld aan datalekken of het niet meer beschikbaar hebben van informatie.

De verantwoordelijkheid voor BCM ligt bij het bestuur als eindverantwoordelijke en bij de directie als operationeel verantwoordelijke. Daarnaast gaat BCM niet alleen over het beschikbaar houden van (digitale) informatie onder alle omstandigheden vanuit ICT, maar ook om het beschikbaar houden van (gekwalificeerd) personeel, de veiligheid van personeel, het archiefbeheer (digitaal als analoog) alsmede de huisvesting voor het garanderen van de continuïteit van kritische bedrijfsprocessen. BCM is aldus een organisatiebreed onderwerp met een groot aantal relevante stakeholders en vele onderlinge afhankelijkheden die op elkaar afgestemd moeten worden.

Vanuit mijn praktijk zie ik CISO’s worstelen met het vraagstuk over BCM en daardoor niet verder komen met verbeteringen in hoofdstuk 17 van de BIO, NEN7510 of ISO27002. Dat komt op de eerste plaats omdat de CISO een van de weinige functionarissen in de organisatie is die vanuit zijn rol aandacht moet vragen voor BCM. Dat vereist dan wel de nodige kennis over BCM anders blijft BCM een containerbegrip en dan is het lastig de noodzaak en urgentie van dit onderwerp onder de aandacht te brengen van de directie en het bestuur.

Op de tweede plaats weet de CISO vaak niet wat andere collega’s op het terrein van BCM aan het doen zijn. Denk in dit kader bijvoorbeeld aan privacybescherming, informatie- en archiefbeheer, verzekeringen en de toereikendheid van de financiële liquiditeiten voor het opvangen van een calamiteit of crisis. Veelal is dit versnipperd in de organisatie en heeft niemand in de organisatie het totale plaatje in beeld rond BCM. Tenslotte is het voor de CISO en al die andere professionals in de organisatie veelal moeilijk om zo’n onderwerp als BCM gezamenlijk volgens een gemeenschappelijke aanpak en structuur op te pakken en te borgen.

Om de CISO te ondersteunen bieden wij een handreiking in de vorm van een Quick Scan Bedrijfscontinuïteitsbeheer (QS BCM) voorzien van een rapport waaruit onder meer blijkt waar de organisatie staat op het gebied van BCM vanuit een twaalftal invalshoeken. Het rapport is bedoeld voor de directie en het bestuur en biedt een eerste stap voor het doorvoeren van structurele verbeteringen vanuit een top down benadering. In die zin is dit rapport een richtsnoer en tegelijkertijd gericht op het vergroten van bewustwording rond nut en noodzaak van bedrijfscontinuïteit onder relevante stakeholders.

De aanpak is pragmatisch en gericht op een structurele oplossing in de vorm van een BCMS dat staat voor een managementsysteem voor bedrijfscontinuïteitsbeheer volgens de principes van interne beheersing waaronder een PDCA-cyclus. Dat zijn dezelfde principes die ook gehanteerd worden bij een ISMS dat bekend terrein is van de CISO.