Wie is verantwoordelijk voor datalek: CIO of CEO? Dit is de discussiestelling die Computable-lezers vandaag krijgen voorgelegd.
Vooral in België blijken cio’s en it-managers eerder zwijgzaam als hun bedrijf slachtoffer wordt van cybercrime. Zowat de helft van de Belgische cio’s of it-managers (48 procent) zegt een belangrijk datalek niet te rapporteren aan zijn senior management. In Nederland ligt dat cijfer op 31 procent.
Dat alles blijkt uit een recent onderzoek van Vanson Bourne in opdracht van VMware. Los van deze vaststelling is er natuurlijk de vraag wie verantwoordelijk is voor een datalek in een organisatie. Of beter: wie is het in de praktijk? Wie moet bijvoorbeeld vertrekken als het echt (heel) grondig fout loopt?
Zowat een kwart van de werknemers en it-verantwoordelijken vindt dat de ceo eigenlijk verantwoordelijk zou moeten zijn voor schade veroorzaakt door een cyberaanval. Maar nog belangrijker is: wat vind jij?
Een eenvoudig A of B antwoord is hier nogal kort door de bocht vind ik.
De CIO is verantwoordelijk voor het IT gebeuren, ook IT Security, dus hij is eindverantwoordelijke bij een datalek. Dat is eenvoudig, maar ..
Als de CIO kan aantonen dat hij alles gedaan heeft binnen zijn mogelijkheden, zowel qua kennis, materiaal en budgettair, en dit op regelmatige basis heeft gerapporteerd naar boven toe (dus ook naar de CEO), dan ligt de eindverantwoordelijkheid bij de CEO.
Tijdens een audit ISO27001 melden wij vaak dat een regelmatige rapportage naar het hoger management zeer belangrijk is. Niet enkel voor een analyse, maar ook als bescherming van de IT verantwoordelijken.
Als rapporten aantonen dat er een probleem is, en m’n stelt ook degelijke oplossingen voor, maar er wordt door het management geen steun verleend. Dan ligt de verantwoordelijkheid bij het management en uiteindelijk de CEO. Een beslissing die, gesteund door voldoende rapporten, zelfs standhoud bij een eventuele rechtszaak.
Een goede oplossing zou dus zijn om de IT verantwoordelijke op te nemen in het management.
Benieuwd naar de reacties.