Ten overstaan van ruim 150 accountants, auditors en andere belangstellenden presenteerden NBA LIO en NOREA, de beroepsorganisatie van IT-auditors, begin dit jaar het vernieuwde volwassenheidsmodel informatiebeveiliging. Het onderwerp is hot. "Dit komt als een geschenk uit de hemel."

NBA LIO kwam in 2016 al eens met een volwassenheidsmodel, maar dat kreeg nog maar weinig bekendheid. Ondertussen draaiden de raderen van informatiebeveiliging flink door. Cybersecurity kwam op. De kans om als organisatie gehackt te worden neemt hand over hand toe; het is niet de vraag of je wordt gehackt, maar wanneer.

Tijd voor een nieuw antwoord op zulke dreigingen. Want hoe kun je ervoor zorgen dat je organisatie klaar is om zijn informatie te beveiligen? Een antwoord daarop krijgen is welhaast de heilige graal. Dus zat de zaal begin februari bomvol, bij een rondetafelbijeenkomst van NBA LIO en NOREA waar het nieuwe volwassenheidsmodel werd gepresenteerd.

Registeraccountant en oud-president directeur van Schiphol Jos Nijhuis trapte af als dagvoorzitter. Nijhuis was tot voor kort ook co-voorzitter van de Cybersecurityraad, nationaal en onafhankelijk adviesorgaan van het kabinet. Daarvoor hield hij diverse boardroomgesprekken. "Ik merkte dat daarbij al snel de IT-directeur naar voren werd geschoven, maar ik ging er niet heen om met experts te praten, maar met ceo's. Hoe zit het daar met de awareness? Die ceo overlegt weer de details met de echte experts."

Nijhuis vindt dat accountants geëquipeerd moeten zijn om het gesprek, ook in het mkb, over cybersecurity aan te gaan. "Daarmee geef je invulling aan je maatschappelijke verantwoordelijkheid. Ik hoop dat het bij dit onderwerp niet zo vlak blijft als bij de opmerkingen over fraude in managementletters."

Gereedschap

Projectleider Jurgen Pertijs van de werkgroep Herziening Maturity Model Informatiebeveiliging gaf aan waarom het model tot stand kwam in 2016. "We  gaven de auditor gereedschap in handen om het gesprek aan te gaan in de boardroom. Wat is de risicobereidheid van organisaties? Hoe weet ik dat mijn organisatie veilig genoeg is? Hoe is de governance geregeld? Op welke zaken kunnen we sturen, zodat het niet alleen een feestje is van de IT-directeur? Maar ook: hoe vergewis ik me ervan dat mijn leveranciers en ketenpartners hun beveiliging goed hebben geregeld?"

Ongeveer de helft van de aanwezigen kende de eerste versie van het model. Maar het gebruik van informatietechnologie is inmiddels zo vanzelfsprekend geworden en geïntegreerd in organisatie strategieën dat problemen met de beveiliging rechtstreeks van invloed zijn op de dagelijkse bedrijfsactiviteiten.. "Daarnaast wilden we de bekendheid vergroten van het model", aldus Pertijs. Zo onstond de link met NOREA. "Het zou namelijk eeuwig zonde zijn als slechts enkele mensen dit gereedschap in hun gereedschapskist hebben."

Volwassenheid op vijf niveaus

Het model schaalt de volwassenheid in informatiebeveiliging in op vijf niveaus. "Zat je in de eerste versie op niveau 4, dan kan dat anno 2019 niet meer het geval zijn als de informatiebeveiliging hetzelfde is gebleven. Je moet dus continu bijblijven", benadrukte Pertijs.

In de handreiking bij het volwassenheidsmodel staan diverse hulpmiddelen. Bijvoorbeeld om te benchmarken tussen onderdelen of met andere organisaties, om risicoanalyses uit te voeren of om de control objectives te bepalen. "Daarbij is het van belang welk beveiligingsniveau past bij de organisatie. De bakker om de hoek heeft een ander beveiligingsniveau nodig dan de bank." Ook zijn er in de handreiking good practices opgenomen. Wie werkt met de rapportages kan op vijftien deelgebieden in een oogopslag zien waar de organisatie staat. "Die rapportages zijn een 'praatplaat' richting de board. Ook om prioritering aan te brengen." Pertijs riep vervolgens de aanwezigen op met feedback in brede zin te komen, zodat het model periodiek herijkt kan worden.