Security governance bij digital agencies: hoe richt je dit in zonder er een afdeling van te maken?

"Wie is hier eigenlijk verantwoordelijk voor informatiebeveiliging?" Het is een vraag die bij elk bureau op een gegeven moment valt. Tijdens een teamoverleg, na een vraag van een klant, of gewoon omdat iemand het zich plotseling afvraagt. En het antwoord dat erop volgt, is bijna altijd hetzelfde: een korte stilte, gevolgd door "dat doen we eigenlijk samen" of "dat zit een beetje bij operations, denk ik". Begrijpelijke antwoorden, maar geen goede antwoorden. Het is precies waar governance om gaat: niet om een nieuwe afdeling, een dik beleidsdocument of een functietitel met "Chief" erin, maar om het simpele feit dat één van je collega’s expliciet kan zeggen: “Je moet bij mij zijn”. Voor bureaus die net die fase bereiken waarin klanten en procurement-afdelingen om structuur vragen, is het vaak het laatste stukje dat ontbreekt én (goed nieuws) tegelijk het makkelijkste om op te lossen.

Wat is security governance, en wat betekent dat voor een bureau van twintig tot vijftig man?

Het woord governance roept bij veel founders meteen een beeld op van grote organisaties: stuurgroepen, kwartaalrapportages, een compliance-afdeling die overal een handtekening onder moet zetten. Voor een bureau van twintig tot vijftig man is dat beeld niet alleen onrealistisch, het is ook gewoon niet wat governance betekent op deze schaal.

In de kern is governance niets anders dan dit: wie is waarvoor verantwoordelijk, hoe vaak wordt daar bewust naar gekeken en is dat ergens terug te vinden? Geen nieuwe rollen, geen extra laag in het organogram. Wel een organisatie waarin "dat doen we eigenlijk samen" wordt vervangen door een naam, een ritme en een paar regels op papier.

Het verschil tussen een bureau zonder governance en een bureau met governance is in de praktijk vaak nauwelijks zichtbaar in het dagelijkse werk. Het wordt pas zichtbaar op het moment dat iemand van buiten (een klant, een auditor, een nieuwe collega) een vraag stelt die normaal nooit gesteld wordt. Bij het ene bureau is er dan een naam en een antwoord. Bij het andere bureau valt er een stilte.

De drie bouwstenen van praktische security governance

Praktische governance bij een bureau van deze omvang bestaat uit drie onderdelen. Geen van de drie is op zichzelf ingewikkeld, de waarde zit erin dat ze samen een geheel vormen dat blijft staan, ook als individuele mensen vertrekken of op vakantie zijn.

Eigenaarschap. Voor elk van de bekende domeinen (toegangsbeheer, incidenten, leveranciers, beleid) is er één naam die ervoor verantwoordelijk is. Niet noodzakelijk de persoon die het werk uitvoert, maar wel de persoon die kan zeggen of het op orde is en die het aanspreekpunt is als iemand ernaar vraagt. Bij een bureau van twintig tot vijftig man past dit prima naast bestaande functies: de operations lead, de tech lead, soms een founder zelf. Het punt is niet de titel, het draait om de duidelijkheid.

Ritme. Eigenaarschap zonder een vast moment om ernaar te kijken, verzandt vanzelf in louter goede intenties. Daarom is het tweede onderdeel een terugkerend ritme (meestal eens per kwartaal) waarin de eigenaren van de verschillende domeinen kort samenkomen. Niet om uitgebreide rapportages te bespreken, maar om drie simpele vragen te beantwoorden: is er iets veranderd, is er iets misgegaan en moet er iets worden bijgesteld? Voor een bureau van deze omvang is dit typisch een overleg van een uur, vier keer per jaar. Zeer overzichtelijk dus.

Vastlegging. Het derde onderdeel is het minst spannende en toch het meest doorslaggevende: wat er in dat kwartaaloverleg wordt besproken en besloten, wordt opgeschreven. Niet uitgebreid, want een half A4'tje per kwartaal is vaak genoeg. Maar wel ergens terug te vinden, met datum en namen. Dit is het verschil tussen "we kijken hier eigenlijk steeds naar" en kunnen laten zien dat dat ook echt gebeurt.

Drie bouwstenen, geen van alle nieuw, geen van alle zwaar. Het zijn dingen die de meeste bureaus al deels doen, alleen vaak nog impliciet, onregelmatig en niet vastgelegd. Governance is niet het toevoegen van iets nieuws. Het is het expliciet maken van wat er al gebeurt.

 

Hoe ziet dit er in de praktijk uit?

Neem een bureau van rond de 35 man, met een vertrouwde kern van operations, tech en een paar founders. Geen security-functie, geen Governance, Risk & Compliance-afdeling, maar gewoon mensen die ook andere dingen doen.

Toegangsbeheer is belegd bij de operations lead: die houdt het overzicht van wie waar toegang heeft en zorgt dat dit wordt bijgewerkt bij in- en uitdiensttredingen. Incidenten en kwetsbaarheden vallen onder de tech lead, die ook verantwoordelijk is voor het bijhouden van een eenvoudig logboek. Leveranciers en tools zijn verdeeld over wie ze in gebruik heeft genomen, met één van de founders als eindverantwoordelijke voor het totaaloverzicht. En beleid (het document waarin staat hoe het bureau met informatiebeveiliging omgaat) is eigendom van diezelfde founder, simpelweg omdat iemand uiteindelijk verantwoordelijk moet zijn voor het geheel.

Eens per kwartaal zitten deze mensen een uurtje samen. Operations meldt of er wijzigingen zijn geweest in de toegang. Tech meldt of er incidenten zijn geweest en of de laatste updates zijn doorgevoerd. De founder vraagt of er nieuwe tools of leveranciers zijn bijgekomen. Aan het eind van het overleg schrijft iemand vijf regels op: wat is besproken, wat is besloten, wie doet wat voor het volgende kwartaal.

Dat is het. Geen dashboard, geen extern platform, geen extra fte. Vier overleggen per jaar en een groeiend document met aantekeningen en plotseling is "wie is hier verantwoordelijk voor?" geen vraag meer die een ongemakkelijke stilte oplevert.

Wat governance niet hoeft te zijn

Een groot deel van de aarzeling rond dit onderwerp komt niet voort uit onwil, maar uit een verkeerd beeld van wat er wordt gevraagd. Een paar dingen wat governance, op deze schaal, nadrukkelijk niet is.

Het is geen nieuwe functie. Niemand hoeft ‘Information Security Officer’ op zijn visitekaartje te krijgen om dit te laten werken: de drie bouwstenen passen naast bestaande rollen. Het is geen permanente overhead. Vier overleggen van een uur per jaar, plus het bijhouden van een logboek dat er sowieso al hoort te zijn, is geen nieuw project. Het is hoogstens een gewoonte.

En het is geen eenmalig document dat daarna in een la verdwijnt. Beleid dat één keer is geschreven en nooit meer is aangepast, is precies het signaal dat een klant of auditor het snelst doorziet. Het ritme is waar de waarde zit, niet in het document.

 

Van governance naar een aantoonbaar systeem

Deze drie bouwstenen lossen iets fundamenteels op: ze zorgen ervoor dat verantwoordelijkheid niet meer bij een persoon ligt, maar bij een structuur. Dat is precies het verschil tussen een bureau dat afhankelijk is van wie er toevallig aanwezig is en een bureau dat blijft functioneren ongeacht wie er die week op vakantie is.

Voor de meeste bureaus is dit ook waar het kan stoppen: een lichte, terugkerende governance-structuur is voor veel agencies van deze omvang precies genoeg. Voor bureaus die merken dat ze structureel met vergelijkbare vragen van klanten te maken krijgen, vormt deze structuur tegelijk de fundering voor een formeel kader als ISO 27001. Niet omdat governance daarvoor verplicht is, maar omdat een certificering in feite hetzelfde vraagt wat hier al staat, alleen dan met een externe partij die bevestigt dat je dit goed aanpakt. Wie deze drie bouwstenen al heeft, heeft het grootste deel van de stappen al gezet, zonder het al ISO 27001 compliant te noemen.

Begin klein, begin nu

Het mooie van deze aanpak is dat er geen aanleiding voor nodig is. Je hoeft niet te wachten op een vendor assessment, een nieuwe klant of een incident om dit op te zetten. Eigenaarschap toewijzen voor de vier domeinen kan in een middag. Het eerste kwartaaloverleg kan deze maand al worden ingepland.

 

Security voor Digital Agencies

ISO 27001 voor digital agencies die geen deals meer willen verliezen op security.

 
 
Vorige
Vorige

Wanneer is een digital agency enterprise-ready? Vijf criteria om jezelf eerlijk te beoordelen

Volgende
Volgende

Is ISO 27001 al relevant voor jouw bureau, of toch nog niet?