Cybersecurity chefsache: omarm het 'Three Lines Model'
16 maart, 2021
‘Cybersecurity is chefsache’ kopte het hoofdredactioneel commentaar in het Financieele Dagblad van 4 maart 2021 naar aanleiding van waarschuwingen van de Nederlandse inlichtingendiensten en de Nationaal Coördinator Terrorismebestrijding en Veiligheid. Inderdaad, de beveiliging van de kroonjuwelen van een organisatie is te belangrijk om over te laten aan techneuten en auditors, hoe vakkundig ze ook zijn.
Ook NOREA onderstreept dat cybersecurity absoluut ook een zaak is voor het C-level, de bestuurlijke top van de organisatie. En dan niet als geïsoleerd incidenteel onderwerp op de bestuurlijke agenda, maar als structureel onderdeel van de governance van de organisatie.
Een voorbeeld hoe het grondig kan misgaan als de drie organisatierollen onvolledig zijn ingevuld of niet goed op elkaar zijn afgestemd, is de hack van de Singapore Health Services in 2018. Daarbij werden de medische data van anderhalf miljoen patiënten gestolen.
Uit het onderzoek naar de oorzaken van de hack trok de Singaporese minister van Volksgezondheid vier belangrijke conclusies over de te nemen maatregelen, namelijk:
1. Verbeteren van governance en organisatiestructuur: er was te weinig managementaandacht, onduidelijk eigenaarschap en onduidelijkheid over verantwoordelijkheden.
2. Cybersecurity-structuur inrichten met een verbeterd Three Lines Model. Concreet: de drie organisatierollen beter op elkaar afstemmen, wat ook inhoudt dat ze elkaar complementeren.
3. Verbeteren van bewustzijn en kennis van cybersecurity bij werknemers.
4. Technisch gelaagde toegang tot Internet realiseren.
De eerste drie verbeterpunten illustreren dat juist C-level aandacht cruciaal is. Met nadruk op governance, waaronder duidelijk gedefinieerde en op elkaar afgestemde rollen en verantwoordelijkheden.
Trend: aandacht verschuift van techniek en processen naar management control
Een positieve trend die we de laatste jaren in het security-domein zien is een verschuiving van haast exclusieve aandacht voor techniek en security-processen naar een bredere blik die ook procedures, governance en cultuur omvat, de pijlers van management control. Deze trend, die cybersecurity inderdaad tot chefsache maakt, zien wij als een positieve ontwikkeling.
Een voorbeeld om het wat concreter te maken. Stel dat is vastgesteld dat een cruciale beveiligingspatch niet is geïnstalleerd. Een voor de hand liggende actie is dan de ontbrekende patch alsnog te implementeren. Maar laat het daar niet bij en neem ook de tijd om dieper door te denken. Beantwoord de vraag waar het door komt dat de patch niet is geïmplementeerd. Wat de onderliggende oorzaak is, de root cause.
Was het een fout in het patch management proces? Wie nam de beslissing? Wie werden er geïnformeerd over problemen met het patch management proces. Was de rapportering over de problemen adequaat? Heeft het management gereageerd op geconstateerde problemen met beveiligingspatches? Zo ja, welke acties heeft het management ondernomen? Was de oorzaak van de ontbrekende patch misschien dat prestaties van de ICT-systemen belangrijker werden geacht dan risico's, of erger nog, is de organisatie in feite onbewust bezig haar risicoprofiel te verhogen?
Wie dergelijke vragen stelt, komt uiteindelijk uit op het hogere niveau van organisatorische processen, governance en organisatiecultuur. Gewapend met deze kennis is de organisatie in staat niet alleen de geconstateerde zwakte in de beveiliging aan te pakken, maar ook het optreden van vergelijkbare zwaktes in de toekomst te voorkomen. Daarmee licht de organisatie de cybersecurity uit de sfeer van improvisatie en reageren op incidenten en plaatst het binnen de management control van de organisatie.
Three Lines-model als invulling van management control
Het vernieuwde 3LoD-model, het Three Lines-model, leent zich bij uitstek om de management control in te vullen en duidelijkheid te scheppen over de verantwoordelijkheden. Het model biedt een overzichtelijke weergave van de verschillende rollen, verantwoordelijkheden en activiteiten binnen organisaties, gericht op risicomanagement. Het model onderscheidt drie organisatierollen:
1-e lijn: leveren van producten en diensten aan klanten, en managen van risico’s;
2-e lijn: expertise, ondersteuning, monitoring en een kritische blik bij risicogerelateerde zaken;
3-e lijn: onafhankelijke en objectieve assurance en advies over alle zaken met betrekking tot het realiseren van de organisatiedoelstellingen.
3LM is de vorig jaar verschenen opvolger van het inmiddels verouderde ‘Three Lines of Defense-model (3LoD). In de financiële sector en bij bedrijven die aan een Amerikaanse beurs zijn genoteerd (SOx-plichtig) vormt het oorspronkelijke 3LoD-model al zo’n twintig jaar de basis voor de inrichting van enterprise- en IT risk management, waar ook cybersecurity onder valt. Bezwaar van dat oude model was dat het leidt tot ‘silodenken’: elk van de drie rollen denkt vanuit de eigen silo. Het gevolg is dat er gemakkelijk lacunes in de governance ontstaan. Tegelijkertijd is er het risico van improductieve overlappingen, bijvoorbeeld wanneer de business en de interne auditfunctie zich met dezelfde zaken bezighouden en daarbij verschillende uitgangspunten of denkmodellen hanteren. Verder was een mogelijke valkuil bij de implementatie van het 3LoD-model dat het werd gezien als een one-size-fits-all model, terwijl toepassing van het model in zijn volle omvang soms niet mogelijk is. Dit geldt vooral voor kleinere organisaties.
Focus op belang van risicomanagement voor bereiken strategische doelstellingen
Het nieuwe model positioneert risicomanagement nadrukkelijk als één van de aspecten van governance in een organisatie. Het benadrukt dat risicomanagement moet aansluiten bij de doelstellingen en de strategie van de organisatie. 3LM heeft een sterkere focus op de toegevoegde waarde van risicomanagement voor het bereiken van de strategische doelstellingen. In het domein van cybersecurity betreft dit bijvoorbeeld het beschermen en veiligstellen van assets – denk aan cruciale bedrijfs- en klantinformatie. 3LM is beter ingebed in de algehele governance en legt de verantwoordelijkheid voor de uitvoering van het beheersen van risico’s weer nadrukkelijk bij de eerste lijn. Bovendien stimuleert 3LM de samenwerking tussen de organisatierollen, waardoor het ook korte metten maakt met het silodenken. Het nieuwe model is ‘principle-based’ en sluit aan bij het huidige denken over governance.
Kortom, door het 3LM-model te omarmen maken organisaties cybersecurity écht tot chefsache.
Terwijl het oude model rule-based was, is het nieuwe model principle-based.
De vijf principes zijn:
1. Governance
· Structuren die het mogelijk maken verantwoording af te leggen aan belanghebbenden.
· Acties van het management om doelstellingen te verwezenlijken en risico's te beheersen.
· Zekerheid en advies door onafhankelijke interne audit.
2. Rollen hoogste bestuursorgaan
· Structuren voor effectieve governance, afgestemd op de stakeholders.
· Delegatie aan en toezicht op het management.
· Instelling van en toezicht op een effectieve interne auditfunctie.
3. Managementrollen (eerste en tweede lijn)
· Eerste lijn: lijnmanagement en risicomanagement, ondersteunende functies.
· Tweede lijn: risicomanagement-ondersteuning, toezicht, geloofwaardig tegenwicht bieden.
4. Derdelijnsrol
· Onafhankelijke en objectieve zekerheid en advies.
· Beoordeling toereikendheid en doeltreffendheid van governance en risicomanagement.
5. Onafhankelijkheid derde lijn
· Onafhankelijk van managementverantwoordelijkheden in de eerste en tweede lijn.
· Verantwoording verschuldigd aan bestuursorgaan
6. Waarde creëren en beschermen
· Alignment, communicatie, coördinatie en samenwerking.
Geschreven door
Wilfried Olthof
