Security & Privacy - De verborgen impact op processen, HR en governance

Deze eerste nieuwsbrief gaat in op de raakvlakken van security & privacy met andere gebieden binnen een organisatie. Het eerste gebied is dat van bedrijfsprocessen.

Inzicht in bedrijfsprocessen is meer dan alleen de input - throughput - output inzichtelijk maken. Het vergt ook diepgaand inzicht in het bedrijfsproces; het modelleren. Hierbij wordt elk (kritiek/belangrijk) bedrijfsproces geanalyseerd op basis van activiteiten en resources (actieve en passieve). De uitkomst hiervan zal van voldoende modelkwaliteit moeten zijn waaronder begrijpelijkheid en consistentie. Wanneer het model gereed is, kan de kwaliteit van het proces beoordeeld worden. Een organisatie richt zich dan op de eventuele afwijkingen van het geldende security & privacy beleid en maakt inzichtelijk welke prestaties onvoldoende zijn en dus verbetering behoeven. Vanuit security & privacy bezien kan dit ook gelezen worden op welke punten nog risico's of restrisico's zijn die (nog) behandeld moeten worden. Dit kan gepaard gaan met een herontwerp van een of meerdere bedrijfsprocessen.

Kortom, het in detail inzichtelijk hebben van het bedrijfsproces maakt gedetailleerd inzicht waar specifieke risico's en aandachtspunten voor security & privacy zitten zodat ook organisatie-specifiek aangepakt kunnen worden.

Het tweede gebied betreft de relaties met legal en HR. Vanuit security & privacy (m.n. ISO27001) is er bijvoorbeeld aandacht voor leveranciersrelaties. Deze relatie gaat verder dan het aanleveren van een Programma van Eisen voor de beveiligingsmaatregelen. Contractueel is het van belang dat alle benodigde bedingen en clausules mede de inhoud geven aan security & privacy compliance. Hoe is de inzet van subleveranciers geregeld? Het eigenaarschap van intellectueel eigendom? Welke rol heeft de leverancier: verwerker, verwerkingsverantwoordelijke of mede-verwerkingsverantwoordelijken en welke passende afspraken horen daarbij? Al met al zijn er juridisch voldoende over- en afwegingen te maken voordat een juiste passende contractuele afspraken. Voor HR kunnen contractuele afspraken leiden tot aanvraag van capaciteit voor het uitvoeren van eigen screening (of verificatie daarvan) van personeel van de leverancier (eventueel ook in de keten!), aanleggen van dossiers of verifiëren van eisen van personeel van de leverancier en zorgen/beheren van toegangsrechten (niet voor elke organisatie van belang maar bij instroom verloopt het aanmaken van een account en dergelijke vaak via HR).

Het derde, en laatste, gebied gaat over governance. Hoe beheer en beheers je security & privacy in een organisatie. Voor grote organisaties is dit vaak goed geregeld. Zij kunnen niet opereren zonder governance. Middelgrote en kleine organisaties is dat anders. Niet altijd is voldoende capaciteit aanwezig of beschikbaar te maken. Neemt niet weg dat ook een (vorm van een) Planning & Control-cyclus hebben. Zorg ervoor dat security & privacy (vanuit het ISMS en PIMS) hier goed op aanhaakt. Let goed op de scheiding van taken, rollen en verantwoordelijkheden en zet de juiste mensen (in taak of rol) op de juiste plek in de organisatie. Een ISMS-cyclus kan qua planning vanwege het doorlopen van de PDCA-cyclus nog al eens anders verlopen dan de organisatie-planning. De juiste rol op de juiste plaats zorgt voor een goede interne communicatie en afstemming waardoor security & privacy beter integreert met de governance.

Security & privacy compliance heeft een effectgebied dat verder gaat dan alleen haar eigen onderwerpen. Het raakt de hele organisatie waarvan hierboven enkele zijn uitgelicht. Dit maakt dat de implementatie security & privacy compliance complex is en veel valkuilen kent.