#6 Beveiligingstip:

Scheiding van taken

Scheiding van taken
door Daniel
Scheiding van taken

Vandaag een beveiligingstip in de categorie Scheiding van taken. De laatste tijd hadden de beveiligingstips met name betrekking op technische maatregelen. Organisatorische maatregelen zijn echter net zo belangrijk als technische maatregelen. Het scheiden van taken is een organisatorische maatregel afkomstig uit de ISO 27002 die bijdraagt aan de informatiebeveiliging binnen uw organisatie.

Hoe kan het scheiden van taken bijdragen aan informatiebeveiliging binnen uw organisatie? Het voorkomt belangenverstrengeling. Voorbeeld: Een ICT manager is projectleider van het aanschaffen van een nieuw CRM systeem. Hij krijgt een budget en wordt uiteindelijk beoordeeld op de functionaliteit en kosten van het CRM systeem. Indien de functies gescheiden zijn dan zal de FG advies geven over de veiligheid van het CRM systeem. Volgens de geldende privacywetgeving moet elke organisatie passende technische en organisatorische maatregelen nemen om te voorkomen dat persoonsgegevens in verkeerde handen vallen. Hierdoor kan de FG adviseren om voor een duurder (maar wel veiliger) CRM systeem te kiezen. De ICT manager moet dan met goede argumenten komen indien hij niet mee wil gaan met het advies van de FG.

In (te) veel organisaties zijn deze rollen niet gescheiden. Wanneer de ICT manager ook de FG is kan hij zonder tegengas het goedkopere (en minder veilige) CRM systeem aanschaffen. De slager keurt hier zijn eigen vlees. Naast dat dit niet wenselijk is, voldoet een organisatie met een dergelijke constructie niet aan de AVG. De AVG stelt namelijk dat een FG moet worden aangesteld op basis van kennis, ervaring en onafhankelijkheid. Van onafhankelijkheid is geen sprake wanneer een ICT manager wordt beoordeeld door zijn baas op functionaliteit en kosten van een CRM systeem terwijl de ICT manager óók de FG rol bekleed.

Dit is slechts één voorbeeld van een situatie waarbij taken met elkaar conflicteren. Het is goed om na te gaan welke taken in uw organisatie mogelijk conflicteren. Wilt u meer weten? Of heeft u hulp nodig met de juiste maatregelen? Neem dan contact met ons op. Wij helpen u graag.

Daniel Hendriks

Meer nieuws

 

Convy wil bijdragen aan een wereld waarin organisaties voldoen aan de hoogste normen op het gebied van duurzaamheid, kwaliteit, veiligheid en privacy.

Wij willen hieraan bijdragen door organisaties te begeleiden naar een ISO en/of AVG certificering. Door middel van een ISO certificering maken organisaties aantoonbaar dat de producten en diensten veilig, betrouwbaar en van goede kwaliteit zijn. Door middel van een AVG gerelateerd certificaat (zoals de Data Pro Code) maken organisaties aantoonbaar dat ze voldoen aan de privacywetgeving.