Security Governance Model

Waarom 

Op ieder moment komen er dreigingen op de organisatie af. Daarom doet iedere organisatie in meer of mindere mate wel iets aan beveiliging. Er is beleid, er is een beveiligingsorganisatie, er zijn maatregelen, etc.

Maar:

  • Hoe weet je of je de goede dingen doet?
  • Hoe weet je of je aanpak goed genoeg is?
  • Hoe weet je wat je nog kunt verbeteren?

Corporate Governance Codes schrijven voor dat (beursgenoteerde) organisaties aantoonbaar zorg moeten dragen voor het beheersen van de operationele risico’s. Beveiliging levert een bijdrage aan het beheersen van een groot aantal van die operationele risico’s en moet daarom als onderdeel van een Corporate Governance Code aantoonbaar onder controle zijn.

Als beveiliging aantoonbaar onder controle is, dan noemen we dat Good Security Governance. De vraag is echter hoe je weet of je kunt spreken over Good Security Governance? Hoe weet je of je de juiste beveiligingsaanpak toepast voor de dreigingen die op jouw organisatie afkomen? Hoe weet je of je volledig bent? Hoe weet je of je geen investeringen doet in maatregelen die weinig tot geen toegevoegde waarde hebben? Kortom: hoe weet je of je op het gebied van beveiliging binnen jouw organisatie de goede dingen goed doet?

Beveiliging is geen commodity. Het is een onderwerp dat gestructureerd aangepakt moet worden waarbij de dreigingen en realistische risico’s moeten worden afgezet tegen de beveiligings-maatregelen die getroffen zijn of worden. Een te gemakzuchtige aanpak, onvoldoende overzicht over of te weinig inzicht in het totale speelveld van beveiliging levert simpelweg te veel risico’s en/of te hoge kosten op, wat een negatief effect heeft op de continuïteit van de organisatie. Overzicht is daarom nodig om alle interne en externe dreigingen, alle voorspelbare en onvoorspelbare risico’s zo goed mogelijk het hoofd te bieden. Het Security Governance Model van RisicoRegisseurs helpt organisaties dat overzicht te verkrijgen.

Wat 

Het Security Governance Model is een gestructureerd model, waarmee organisaties inzicht krijgen in de mate waarin beveiliging onder controle is. Een model waar mee vastgesteld kan worden of de organisatie de goede dingen doet door naar 13 aandachtsgebieden binnen beveiliging te kijken. Om vast te stellen of de organisatie de dingen goed doet wordt binnen deze aandachtsgebieden verder ingezoomd op wat er in opzet en bestaan in plaats moet zijn en hoe dit moet werken. Strategische, tactische en operationele aspecten en de logische samenhang daartussen worden hiermee onder de loep genomen. Want hier is waar het, volgens RisicoRegisseurs, om gaat.

Beveiliging is meer dan kijken of op alle onderdelen de juiste operationele beveiligingsmaatregelen zijn getroffen. Het Security Governance Model geeft overzicht door middel van assessments, audits en maturity checks zodat de organisatie kan bepalen of ze de goede dingen goed doet.

Hoe 

Op meerdere niveaus binnen de organisatie kan het Security Governance Model worden aangewend om vast te stellen en aan andere stakeholders aan te kunnen tonen of op het gebied van beveiliging de goede dingen worden gedaan en of deze goed genoeg worden gedaan. Verbeteringen worden gedefinieerd en via het principe van continious improvement geïmplementeerd.

Assessments tonen aan of de goede dingen goed worden gedaan

Beleidseigenaren, beleidsmakers en de uitvoerders van het beleid gebruiken het Security Governance Model om inzicht te krijgen in de verbeteringen die noodzakelijk zijn. Dit leidt tot een beveiligingsstrategie en verbeterplannen waarmee de organisatie steeds beter het hoofd biedt tegen realistische risico’s. De focus ligt hierdoor op de verbeteringen die het meest bijdragen aan Security Governance. Er is overzicht en er is duidelijk welke onderwerpen de meeste aandacht verdienen.

Audits tonen aan of de goede dingen worden gedaan en of de beveiligingsaanpak goed genoeg is

Auditors, Risk Managers, Compliance Officers en de Business Continuity Manager gebruiken het Security Governance Model om duidelijkheid te krijgen over de mate waarin beveiliging in staat is om de realistische risico’s af te dekken. Aantoonbaar wordt gemaakt of beveiliging goed genoeg is zodat het bestuur meer zekerheid krijgt of de bedrijfsdoelstellingen gevrijwaard zijn van onacceptabele risico’s.

Maturity Checks tonen aan of gesproken kan worden van Good Security Governance?

De Raad van Bestuur en de Raad van Commissarissen gebruiken het Security Governance Model om inzicht te krijgen of met de beschikbaar gestelde middelen een zo goed mogelijke invulling wordt gegeven aan beveiliging, of de organisatie “in control” is en of kan worden gesproken over Good Security Governance.

De toegevoegde waarde van het Security Governance Model is dat dit model leidt naar Good Security Governance.


Quickscan Security Governance

Wil je een indruk van waar jouw organisatie staat op het gebied van beveiliging?

Klik hieronder op volgende.

Dan krijg je 10 stellingen. Beantwoord deze naar eer en geweten om vast te stellen waar voor jouw organisatie de verbeterpunten zitten.

Verantwoordelijkheden:

Eén van de bestuurders is expliciet verantwoordelijk en daarmee als eigenaar betiteld voor beveiliging. Hierbij kan de uitvoering van de taken formeel gedelegeerd zijn aan een daartoe aangewezen en geëquipeerde functionaris.
Dreigingsprofiel:

Er is een formeel vastgesteld dreigingsprofiel waarin de risico's zijn vastgelegd. Dit dreigingsprofiel vormt de basis is voor de effectieve en efficiënte inrichting van beveiliging.
Beveiligingsbeleid:

Er is een formeel vastgesteld beveiligingsbeleid passend binnen de organisatie-brede risicostrategie en het dreigingsprofiel van de organisatie.
Operationeel risico management:

Beveiligingsrisico's zijn onderdeel van operationeel risicomanagement. Beveiliging wordt als integraal onderdeel daarvan gezien en de risico’s worden aantoonbaar beheerst.
Vitale bedrijfsprocessen en kritische assets:

Er is een geformaliseerd en actueel overzicht, met daarin voor de vitale bedrijfsprocessen van de organisatie de kritische assets benoemd (informatie, materieel en personeel) die beschermd moeten worden.
Risico analyses:

Er worden periodiek risicoanalyses op het gebied van beveiliging uitgevoerd op basis waarvan de juiste mix aan beveiligingsmaatregelen wordt getroffen om de onacceptabele risico's af te dekken.
Beveiligingsplannen:

Op basis van de uitgevoerde risicoanalyses worden beveiligingsplannen opgesteld voor alle kritische assets (informatie, materieel, personeel) waarin in opzet, bestaan en werking beschreven is welke maatregelen zijn getroffen, welke restrisico’s formeel geaccepteerd zijn en welke verbeteringen nog gerealiseerd moeten worden.
Rapportage:

Er is een rapportage structuur waarmee de voortgang en status van beveiliging inzichtelijk is en op basis waarvan continu verbeteringen worden doorgevoerd om beveiliging op een effectieve en efficiënte wijze in te richten en waarbij niet teveel maar ook niet te weinig beveiligingsmaatregelen worden getroffen.
Incident en/of crisis management proces:

Er is een incident en/of crisis management proces ingericht zodat de organisatie proactief kan anticiperen en adequaat kan reageren indien zich een incident op het gebied van beveiliging voordoet of voor dreigt te doen.
Controle door auditing:

De auditfunctie toetst periodiek de aanpak van beveiliging (inclusief het daarop van toepassing zijnde incident en/of crisis management proces) in opzet, bestaan en werking en informeert de Raad van Bestuur, de Raad van Commissarissen en de Auditcommissie over haar bevindingen.
Heb je één of meer stellingen ontkennend moeten beantwoorden? Of wil je een meer gedetailleerd antwoord op de vraag of de goede dingen goed worden gedaan? Vul dan je contactgegevens in en we nemen contact met je op zodat we het model nader toe kunnen lichten of kunnen helpen het model toe te passen om daarmee voor jouw organisatie te kunnen spreken van Good Security Governance.

Wil je liever geen contact dan kun je de contactgegevens gewoon leeg laten om de door jou gegeven antwoorden te zien.

Contact of nadere informatie:

Wil je dat RisicoRegisseurs naar aanleiding van deze quickscan contact met je opneemt?

Naam
Organisatie
Email
Telefoon