De verantwoordelijkheden voor informatiebeveiliging [blog]

15 december 2015

De afgelopen maanden heb ik een groot aantal gesprekken gevoerd met managers en bestuurders van bedrijven. Zij blijken regelmatig hun externe systeembeheerder of webontwikkelaar verantwoordelijk te houden voor informatiebeveiliging. Als ik dan vervolgens aangeef dat ik informatiebeveiliging een hele andere discipline vind, dan vallen de gesprekken even stil. Kennelijk is de scheiding tussen systeembeheer en informatiebeveiliging niet voor iedereen duidelijk.

IT-dienstverleners worstelen wel vaker met dit soort onderwerpen. Wat valt wel en wat valt niet binnen de scope? Het patchen en updaten van systemen kun je namelijk scharen onder normaal beheer, maar ook onder informatiebeveiliging.

Wat mag u van uw externe systeembeheerder verwachten? Uw systeembeheerder moet er, naast een heleboel andere zaken, voor zorgen dat de operating systemen op uw servers actueel en gepatcht zijn. Daarnaast is hij vaak verantwoordelijk voor het up-to-date houden van anti-virus, spamfilter en firewall. Op applicatieniveau wordt het al wat lastiger: vaak is de leverancier verantwoordelijk voor updates, is er een applicatiebeheerder en zorgt de systeembeheerder voor het onderliggende platform.

De systeembeheerder kan niet verantwoordelijk gehouden worden voor uw informatiebeveiligingsbeleid. Daar gaat u zelf over. Veel managers en bestuurders zijn zich er niet van bewust, maar zij zijn degenen die moeten aangeven welke procedures er gelden, wie bij welke informatie mag en vanaf welke locaties er gewerkt kan worden. Staat u bring your own device toe, dan betekent dit dat u ook moet nadenken over de beveiligingsimplicaties.

Ook het actief op zoek gaan naar kwetsbaarheden binnen uw omgeving is niet iets dat u standaard van uw systeembeheerder kunt verwachten. Er zijn overigens wel een aantal IT-dienstverleners die naast beheerdiensten ook beveiligingsdiensten aanbieden, deze vallen dan nagenoeg altijd buiten het standaardtarief.U zult daar dus wel extra budget voor vrij moeten maken. Niet alleen voor het scannen, maar ook voor de opvolging ervan. Daarnaast zult u uw beheerder moeten laten weten welke kwetsbaarheden als eerste opgelost moeten worden, u bepaalt namelijk de prioriteit.

Van een aantal gesprekspartners heb ik inmiddels begrepen dat zij met hun IT-dienstverlener in gesprek zijn gegaan over deze onderwerpen. De scope is besproken en in alle gevallen is duidelijk geworden dat informatiebeveiliging onvoldoende afgedekt was. Check daarom bij uw dienstverlener hoe hij het geregeld heeft en neem de regie: u bent eindverantwoordelijk!

Mocht u over dit onderwerp door willen praten met een van onze medewerkers? Neem dan contact op met ons!

————
Deze blog is geschreven door Jan Martijn Broekhof van Guardian360 en werd ook op www.guardian360.nl gepubliceerd.

Intermax Redactie