Security Governance

Iedere organisatie doet aan beveiliging, maar hoe weet je of je de goede dingen doet en of er gesproken kan worden over “Good Security Governance”? Om daar, in het licht van de Nederlandse Corporate Governance Code over te kunnen spreken moeten de risico’s die met beveiligingsmaatregelen worden gemitigeerd deel uitmaken van de reeds aanwezige risicobeheersings- en controlesysteem. Hoe je dat voor elkaar krijgt lees je in dit artikel.

Security Governance begint met het hebben van inzicht waar je op verschillende aandachtgebieden binnen het speelveld van beveiliging staat. En hieraan gekoppeld wat je moet doen om per aandachtsgebied in control te komen en te blijven. Het Security Governance Model helpt organisaties daarbij door dit inzicht te verschaffen. Je bent hierbij niet per sé in control als je in ieder aandachtsgebied het hoogste beveiligingsniveau weet te realiseren. In de beveiligingsstrategie kan aansluitend op de totale risicostrategie van de organisatie bepaald zijn, dat je als organisatie op sommige terreinen minder risico loopt en dat hier met een verlaagde aandacht kan worden volstaan.

De Code

Goed bestuur van beursgenoteerde bedrijven beschermt de belangen van aandeelhouders, werknemers en andere belanghebbenden door te zorgen voor lange termijn waardecreatie, beheersing van risico’s, effectief bestuur en toezicht en beloningen. Gedragsregels staan in de Corporate Governance Code en beursgenoteerde bedrijven zijn wettelijk verplicht zich hieraan te houden. Naast beursgenoteerde organisaties zijn veel andere organisaties gaan acteren naar deze of een vergelijkbare code (Code of Conduct). Dergelijke codes bevatten principes en best practices.

Organisaties behoren de principes en best practices toe te passen (pas toe principe). Of, onder omstandigheden, kan besloten worden hiervan af te wijken mits hiervoor een reden wordt gegeven (leg uit principe). Zorgvuldig gemotiveerd moet dan uiteen worden gezet waarom een bepaling niet is toegepast. De wet bepaalt dat informatie over de naleving van de Code in het jaarverslag van de onderneming moet worden opgenomen.

Beveiliging is van belang voor de Code

Incidenten kunnen een negatieve impact hebben op de omzet, de kosten, het imago en daarmee op de continuïteit van een organisatie. Denk alleen al aan welk effect diefstal van klantgegevens tot gevolg kan hebben of het effect als kenbaar wordt dat op grote schaal is gefraudeerd. Niet alleen de financiële schade, maar het effect voor het imago en op het moraal van werknemers en aandeelouders. De continuïteit van de organisatie kan daarmee in het gedrang komen. Het beheersen van deze incidenten met behulp van beveiligingsmaatregelen is noodzakelijk om te kunnen voldoen aan de achterliggende gedachte van de Corporate Governance Code: het beschermen van de belangen van aandeelhouders, werknemers en andere belanghebbenden. Beveiliging moet daarbij op een effectieve manier risico’s beheersen waarmee het voortbestaan van de organisatie op de lange termijn gewaarborgd is.

In de praktijk zien we dat in iedere organisatie in meer of mindere mate beveiliging is ingericht. Met de opzet zit het vaak wel goed. Op papier staat de beveiligingsorganisatie met bijbehorende processen en procedures vaak als een huis. De werking is helaas vaak een ander verhaal. Organisatieblindheid, reorganisaties, kennisverloop en capaciteitsgebrek zijn een aantal oorzaken dat wat op papier staat geen garantie is dat het ook daadwerkelijk zo werkt. Daarbij staat de omvang van de gevolgen van de operationele risico’s vaak in schril contrast tot de tactische en strategische risico’s. Zeker vanuit financieel perspectief bezien. Met als gevolg dat er beperkt verantwoording over de werking van de beveiligingsmaatregelen en restrisico’s wordt afgelegd. De vraag die daarbij gesteld moet worden is: hoe weet je nu of je voldoende beveiligd bent?

Het antwoord op deze vraag is eigenlijk simpel. Laat de risico’s waarop je beveiligingsmaatregelen toepast onderdeel uitmaken van de reeds aanwezige interne risicobeheersings- en controlesystemen binnen de organisatie. Het beveiligingsproces kan zodoende in relatie tot de andere processen worden bezien en je verplicht jezelf tot auditing van de effectiviteit van de beveiligingsmaatregelen.

Een manier waarop je dat kunt doen wordt hierna beschreven.

Beveiligingsproces

Het beveiligingsproces richt zich op die risico’s, die met beveiligingsmaatregelen geheel of deels kunnen worden gemitigeerd. Het beveiligingsproces is een proces dat de juiste beheersmaatregelen voorstelt, deze implementeert en de werking van die maatregelen controleert. En die dus past binnen de totale risicostrategie van de organisatie, die als doel heeft de belangen van aandeelhouders, werknemers en andere belanghebbenden te beschermen.

Geven we één en ander visueel weer dan ziet het er tot nu toe als volgt uit:

Omdat we ons bij beveiliging moeten richten op de bescherming van de vitale bedrijfsprocessen en kritische assets, hergebruiken we daarvoor de Business Impact Analyses zoals die binnen Business Continuity Management zijn vastgesteld. Hiermee is inzichtelijk welke processen vitaal en welke assets kritisch zijn. Vervolgens kijken we vanuit operationeel risicomanagement welke bedreigingen relevant zijn en wat de kans en de impact is van een dreiging die zich manifesteert. Voor de onacceptabele risico’s richten we, conform het beveiligingsproces, de juiste aanpak in waarmee we de risico’s mitigeren tot een acceptabel niveau.

We moeten onderkennen dat niet alle incidenten voorkomen kunnen of hoeven te worden. Juist voor incidenten die we niet zullen kunnen voorkomen (ondenkbare of onvoorspelbare risico’s) of die we simpelweg niet willen voorkomen (acceptabele risico’s), zorgen we ervoor dat er een incident managementproces is ingericht om de impact van een dergelijk incident te beperken. Hiermee bezien we de opzet van beveiliging in een bredere context en in relatie tot andere relevante processen. In hoeverre de beveiliging ook echt zo werkt als bedoeld weten we dan nog niet. Daarvoor moeten we beveiliging nog onderdeel maken van auditing.

De auditfunctie heeft als taak de opzet en de werking van de interne risicobeheersings- en controlesystemen te beoordelen. In opzet dient deze functie daarom onder andere te kijken naar de wijze waarop het beveiligingsproces is ingebed in de organisatie. Door de auditor structureel onderzoek te laten doen naar de werking van beveiliging kan meer zekerheid worden verkregen over de mate waarin de getroffen beveiligingsmaatregelen daadwerkelijk in staat zijn om de onacceptabele risico’s voldoende te mitigeren.

Conclusie

Met het Security Governance Model krijg je  inzicht of je geen belangrijke aspecten over het hoofd ziet en of je de goede dingen doet. Om te kunnen spreken over Security Governance hoeven geen enorme kosten te worden gemaakt als er hergebruik wordt gemaakt van al aanwezige risicobeheersings- en controlesystemen en functies. Door het beveiligingsproces in een bredere context te bezien en door een relatie te leggen met andere processen kan het effect van de risicomitigatie beter worden neergezet in het gehele risicolandschap van de organisatie. Hiermee wordt een grote stap gezet in het kunnen spreken over een beveiligingsproces dat onder controle is. Door audits naar de opzet van beveiliging aan te vullen met structurele audits naar de werking van de beveiligingsmaatregelen wordt meer zekerheid verkregen of er niet teveel of te weinig aan beveiliging wordt gedaan.

Op deze manier worden de belangen van aandeelhouders, werknemers en andere belanghebbenden beter beschermd en kan het bestuur van de organisatie verantwoording afleggen over de mate waarin gesproken kan worden over “Good Security Governance”.