Close

Wat is de rol van de CISO in het kader van BCM?

In eerdere blogs hebben wij al aandacht besteed aan de meerwaarde van bedrijfscontinuïteitsbeheer (BCM) en de manier om dat structureel te organiseren als onderdeel van integrale interne beheersing. In deze blog behandelen we dit onderwerp specifiek vanuit de rol van de CISO. Immers de CISO heeft eveneens te maken met BCM zoals blijkt uit hoofdstuk 17 van de BIO, NEN 7510 of ISO 27002. In mijn dagelijkse praktijk zie ik veel CISO’s worstelen met hun rol en verantwoordelijkheden als het gaat om hoofdstuk 17 met als gevolg dat verbeteringen niet of nauwelijks plaatsvinden voor dit onderwerp. Voor mij is dat reden om in deze blog hierop nader in te gaan.

Door Gerrit Goud

Weliswaar impliceert hoofdstuk 17 dat de organisatie aandacht moet besteden aan BCM, maar dat is niet de verantwoordelijkheid van de CISO. De rol van de CISO rond BCM is slechts beperkt tot de informatiebeveiligingsaspecten van bedrijfscontinuïteitsbeheer. Dit betekent dat vanuit het perspectief van informatiebeveiliging moet worden nagegaan of er waarborgen zijn dat de informatie/data van de organisatie tijdens een calamiteit of crisis passend beveiligd is. Immers in zo’n situatie neemt de kans toe dat (betrouwbare) informatie opeens op straat komt te liggen, denk bijvoorbeeld aan datalekken of het niet meer beschikbaar hebben van informatie.

De verantwoordelijkheid voor BCM ligt bij het bestuur als eindverantwoordelijke en bij de directie als operationeel verantwoordelijke. Daarnaast gaat BCM niet alleen over het beschikbaar houden van (digitale) informatie onder alle omstandigheden vanuit ICT, maar ook om het beschikbaar houden van (gekwalificeerd) personeel, de veiligheid van personeel, het archiefbeheer (digitaal als analoog) alsmede de huisvesting voor het garanderen van de continuïteit van kritische bedrijfsprocessen. BCM is aldus een organisatiebreed onderwerp met een groot aantal relevante stakeholders en vele onderlinge afhankelijkheden die op elkaar afgestemd moeten worden.

Vanuit mijn praktijk zie ik CISO’s worstelen met het vraagstuk over BCM en daardoor niet verder komen met verbeteringen in hoofdstuk 17 van de BIO, NEN7510 of ISO27002. Dat komt op de eerste plaats omdat de CISO een van de weinige functionarissen in de organisatie is die vanuit zijn rol aandacht moet vragen voor BCM. Dat vereist dan wel de nodige kennis over BCM anders blijft BCM een containerbegrip en dan is het lastig de noodzaak en urgentie van dit onderwerp onder de aandacht te brengen van de directie en het bestuur.

Op de tweede plaats weet de CISO vaak niet wat andere collega’s op het terrein van BCM aan het doen zijn. Denk in dit kader bijvoorbeeld aan privacybescherming, informatie- en archiefbeheer, verzekeringen en de toereikendheid van de financiële liquiditeiten voor het opvangen van een calamiteit of crisis. Veelal is dit versnipperd in de organisatie en heeft niemand in de organisatie het totale plaatje in beeld rond BCM. Tenslotte is het voor de CISO en al die andere professionals in de organisatie veelal moeilijk om zo’n onderwerp als BCM gezamenlijk volgens een gemeenschappelijke aanpak en structuur op te pakken en te borgen.

Om de CISO te ondersteunen bieden wij een handreiking in de vorm van een Quick Scan Bedrijfscontinuïteitsbeheer (QS BCM) voorzien van een rapport waaruit onder meer blijkt waar de organisatie staat op het gebied van BCM vanuit een twaalftal invalshoeken. Het rapport is bedoeld voor de directie en het bestuur en biedt een eerste stap voor het doorvoeren van structurele verbeteringen vanuit een top down benadering. In die zin is dit rapport een richtsnoer en tegelijkertijd gericht op het vergroten van bewustwording rond nut en noodzaak van bedrijfscontinuïteit onder relevante stakeholders. Op hoofdlijnen is het stappenplan voor het borgen van BCM als volgt weergegeven:

 

De aanpak is pragmatisch en gericht op een structurele oplossing in de vorm van een BCMS dat staat voor een managementsysteem voor bedrijfscontinuïteitsbeheer volgens de principes van interne beheersing waaronder een PDCA-cyclus. Dat zijn dezelfde principes die ook gehanteerd worden bij een ISMS dat bekend terrein is van de CISO.

Wilt u meer weten over de Quick Scan Bedrijfscontinuïteit (QS BCM) of over onze aanpak naar een BCMS, neem dan gerust contract met ons op. Wij willen u graag van dienst zijn.

Webinar

In navolging van deze blogserie organiseren Gerrit Goud en Key2Control diverse webinars om deze aanpak met de inzet van Key2Control software verder toe te lichten. De webinars worden het hele jaar door gegeven op diverse dagen, u kunt zelf kiezen uit het voor u meest geschikte moment.