ICT-beveiliging is taak directeur

Daar komt de invoering van de wet Sarbanes-Oxley bij. Die stelt dat het topmanagement van organisaties die in de VS een beursnotering hebben, er persoonlijk verantwoordelijk voor is dat de financiële verslaglegging in orde is. Zonder een goed functionerend ICT-systeem is dit niet mogelijk. Alleen die wet al zorgt er inmiddels voor dat in de VS het besef doordringt dat ICT-beveiliging het algemeen management wel degelijk aangaat. In Nederland is dat besef er nog niet. Adri de Bruijn, voorzitter van de Norea, de beroepsorganisatie voor IT-auditors, is daarvan al langere tijd pleitbezorger. De realiteit is echter anders. "Wereldwijd is bij de meeste organisaties nog steeds de CIO verantwoordelijk voor ICT-beveiliging. Voor Nederland geldt dat ook. Het staat laag op de agenda, dus komt het niet echt onder de aandacht van de ‘chiefs’. Voor EDP-audits treffen wij nog voornamelijk de CIO als gesprekspartner. Het verandert wel, maar erg langzaam." Ook Consul, dat zich geheel toelegt op software voor ICT-beveiliging, spreekt zelden het algemeen management. "Wel is sinds een half jaar steeds vaker het hoofd automatisering, de CIO, onze gesprekspartner over security. Dat was twee jaar geleden ook niet het geval. Toen lag security op het bord van de EDP-manager of de systeembeheerder. Dus het ‘stijgt’ wel", constateert Marco Geerinck, VP sales EMEA bij Consul. "Door de toegenomen regelgeving zien we bij klanten in de VS wel dat de CIO heel sterk wordt aangestuurd door de CEO als het om beveiliging gaat. In Nederland gebeurt dat maar mondjesmaat: voornamelijk bij de grote beursgenoteerde bedrijven en de ‘financials’." ICT-beveiliger Symantec merkt eveneens dat het onderwerp beveiliging op een steeds hoger niveau aandacht krijgt, maar niet het hoogste. "En er is steeds vaker een speciale security-officer aangesteld die zich op risicomanagement richt", stelt de woordvoerster. Maar het algemeen management mag zich dan niet verantwoordelijk vóelen voor de ICT-beveiliging, uiteindelijk is het dat wél. Mr B.L.P. van Reeken, advocaat bij advocatenkantoor De Brauw Blackstone Westbroek, wijst erop dat de eindverantwoordelijkheid juridisch sowieso bij het algemeen management ligt. "Juridisch maakt het niet uit of je dat weg delegeert; je blijft eindverantwoordelijk. Wel kun je in de raad van bestuur taken aan elkaar toebedelen waardoor iemand daar weer wat meer verantwoordelijk voor is dan de andere leden." Maar dat is al zo sinds jaar en dag. "Er is een verschil tussen de feitelijk en de juridische positie. Vaak huurt men specialisten in en voelt men zich vervolgens zelf niet meer verantwoordelijk. Maar je bent er met beveiliging niet alleen met techniek. Het moet ingebed worden in de hele organisatie. Je moet bijvoorbeeld mensen leren dat ze niet meer elk attachment open kunnen klikken."