In drie stappen de basis van de informatiebeveiliging op orde
Het onderwerp informatiebeveiliging staat binnen organisaties steeds hoger op de bestuurlijke agenda. Maar ondanks alle aandacht blijkt het naar behoren laten functioneren van de informatiebeveiliging nog een flinke uitdaging. Experts van Arlande leggen uit welke stappen je kunt nemen om de basis op orde te brengen.
Door grote recente gebeurtenissen zoals de hacks op de Universiteit Maastricht en het ROC Mondriaan ligt informatiebeveiliging onder een vergrootglas. Deze en andere cybercases (denk aan de Colonial Pipeline-hack in de Verenigde Staten) tonen duidelijk aan hoe belangrijk het is voor organisaties om grip te hebben op hun informatiebeveiliging.
Hoe krijg je inzicht in de huidige professionaliteit (en dus ook in de potentiële zwakheden) van de informatiebeveiliging? En een goed beeld van wat er zoal moet gebeuren om de volwassenheid naar een hoger niveau te tillen? Hiervoor kunnen drie belangrijke stappen worden gezet: awareness, analyse en organisatie.
1: Awareness
De eerste stap is het creëren van awareness door de bestuurders te wijzen op de risico’s en de impact voor de gehele organisatie. Uiteindelijk is het bestuur eindverantwoordelijk. Het is een onderwerp waar echter ook veel eer valt te behalen voor bestuurders, door het goed te (laten) organiseren en besturen. Dus zowel vanuit bedreiging als kansen beredeneerd is aandacht te creëren.
2: Analyse
De tweede stap is de huidige stand van zaken in beeld brengen. Een nulmeting, wat is het kader, wat zijn de risico’s, waar sta je en waar wil je als organisatie naartoe? Gedurende deze stap is het de hoogste prioriteit om de eventuele lekken te dichten. Het allerbelangrijkste is prioriteiten stellen door op een slimme manier beperkte middelen in te zetten. Wat zijn de acute problemen en risico’s? Definieer maatregelen en houd de organisatie in stand.
Het is hierbij belangrijk om het bestuur en de medewerkers mee te nemen in de verandering die informatiebeveiliging met zich meebrengt. Waarover beslissen we met elkaar en waar hebben we welke invloed op? Heldere keuzes en de consequenties ervan dienen op informatiebeveiligingsvlak geduid te worden. Hiermee kan het bestuur verantwoord sturen.
Tip: Spreek elkaar zoveel mogelijk aan in de eigen taal en maak informatiebeveiliging onderdeel van de volledige control-cyclus. Creëer een cultuur waarin mensen open en transparant zijn. Er gaan dingen fout, maar maak het bespreekbaar. Niets is zo erg als een incident of een risico dat niet behandeld wordt.
3: Organisatie
Stap drie is het opbouwen van de informatiebeveiligingsorganisatie met de bijbehorende rollen. Een informatiebeveiligingsorganisatie is een professionele organisatie die in staat is om de juiste maatregelen te nemen, in stand te houden en te evalueren, passend bij de risico’s die de organisatie loopt. Dit is een constant proces.
Rollen zoals een Chief Information Security Officer, een ICT-Security Officer en IT-architect zijn belangrijk om aan te haken, omdat je preventief wilt handelen. Hoe beter je het van tevoren organiseert, des te eenvoudiger is het om achteraf te repareren. Daarnaast is bij elke organisatie een privacy officer randvoorwaardelijk om daadwerkelijk tot decentraal succes te komen.
