Informatiebeveiligingsbeleid | Een ‘moetje’ of essentieel onderdeel?
Documenten. Sommige mensen vinden het achterhaalde dingen en anderen die zweren er weer bij. Dit heeft deels met een generatiekloof te maken en deels met persoonlijke voorkeur. Wij zitten ergens neutraal in het midden. Documenten zijn, zeker binnen IB, van groot belang máár je moet het ook weer niet overdrijven. Dit zien we helaas toch nog veel bij organisaties. Waar documenten worden gemaakt omdat dat ‘verwacht wordt’ conform bepaalde richtlijnen. Wat er in staat? Niemand weet het. Wat ermee gedaan wordt? Mooi opgeborgen in de kast.
Vandaag staan we stil bij hoe het wel moet. Het schrijven van een relevant en sterk informatiebeveiligingsbeleid.
Informatiebeveiligingsbeleid. Je hebt het, maar waar…?
Elke organisatie zou, in zekere mate, een informatiebeveiligingsbeleid moeten hebben. Er zijn echter maar weinig bedrijven die het beleid meteen paraat hebben op verzoek en ook nog eens weten wat erin staat. Of, sterker nog, kunnen uitleggen hoe het beleid tot stand is gekomen en hun dagelijkse doen en laten beïnvloedt. Is dit een slecht teken? Ja, maar het is tegelijkertijd wel te verklaren. Een dergelijk beleid wordt namelijk vaak gezien en geschreven als iets dat compleet los staat van de organisatie. Terwijl het juist een integraal onderdeel zou moeten zijn.
Steeds vaker komen opdrachtgevers bij ons terecht met de vraag of we een informatiebeveiligingsbeleid voor hen kunnen opstellen. Vaak komt de initiële wens van zo’n beleid vanuit een klant of leverancier, of komt er binnenkort een audit aan. Dan is zo’n document om aan te kunnen tonen dat je intens veel met IB bezig bent wel wenselijk. Hierop volgt vaak de nadrukkelijke wens dat het vol moet staan met onderwerpen ‘relevant voor informatiebeveiliging’.
Wanneer je het beleid opstelt aan de hand van zogenaamde relevante onderwerpen zoals logische toegangsbeveiliging, het gebruik van privé apparatuur of de noodzaak van Two Factor authentication (2FA) zal het resultaat nooit naar behoren zijn. Want hoe en op basis waarvan worden deze onderwerpen vastgesteld? Wat maakt ze relevant? Waar wordt de grens getrokken? En hoe wordt ervoor gezorgd dat het toch compact en leesbaar blijft? En dat de business het begrijpt en toepast?
Wat dan bij een dergelijk beleid overblijft is een document dat qua grootte en inhoud niet meer te overzien is, niemand leest en eindigt ergens in een kast.
Een heuse gemiste kans en dat is zonde!
Stel een beleid op dat past bij jouw organisatie
Iets dat wij helaas ook vaak terugzien wanneer we starten bij opdrachtgevers. Er is ooit een beleid geschreven dus we zijn er wel degelijk mee bezig geweest. En daarmee dus veilig. Zo werkt het natuurlijk niet. Het informatiebeveiligingsbeleid gaat verloren onder een enorme laag stof en IB wordt weer een onderwerp waar je soms iets over leest op het nieuws.
Er ontstaat op deze manier schijnveiligheid en je kunt wachten op de verstoring van je continuïteit.
Hoe het wel moet? Maak een informatiebeveiligingsbeleid dat volledig is toegespitst op jouw organisatie. Stel vragen die relevant zijn voor jullie en niet omdat het relevant lijkt voor IB.
- Wat is de context van mijn organisatie?;
- Hoe past IB het meest effectief binnen mijn bedrijfsstrategie?;
- Wat zijn de belangrijkste belanghebbenden?;
- Heb ik inzicht op de mogelijke risico’s die ik loop?;
- Welke wet- en regelgeving is relevant op het gebied van IB voor mijn organisatie?;
De hoofdvraag van een informatiebeveiligingsbeleid zou echter als volgt moeten luiden:
“Hoe zorg ik ervoor dat informatiebeveiliging een verbeterproces omhelst en uiteindelijk een kwaliteitsslag gaat leveren voor mijn bedrijfsvoering?“
Maak het een integraal onderdeel van de organisatie
Door kritisch en oprecht over deze vragen na te denken krijgt het informatiebeveiligingsbeleid een compleet andere invalshoek. Als je daaraan een risico impact analyse koppelt, die samen met de betrokken proceseigenaren wordt uitgevoerd, ontstaat er brede betrokkenheid en krijgt informatiebeveiliging draagkracht. Daarmee past het veel beter binnen de organisatie en is het gemakkelijker om het een integraal onderdeel te maken. In plaats van op ‘relevante’ onderwerpen als toegangsbeveiliging of het gebruik van privé-apparaten te focussen, wordt er echt nagedacht over het hoe en waarom. Dit zorgt ervoor dat het in de organisatie veel meer gaat leven want het is relevant en het snijdt hout. En dan ga je zien wat een sterk informatiebeveiligingsbeleid je kan opleveren.
Een sterk informatiebeveiligingsbeleid dat wordt nageleefd is essentieel voor elke organisatie. Dit hoeft zeker geen beleidsdocument te zijn van bijbels formaat. Maar wel een beleid van waaruit deelbeleidstukken, processen en procedures kunnen worden opgesteld. Zo blijft het overzichtelijk en wordt informatiebeveiliging duurzaam geborgd in de organisatie. En wordt het voor het management mogelijk om hierop te sturen. Schijnheiligheid wordt hiermee voorkomen.
Wil jij samen met ons werken aan een informatiebeveiligingsbeleid dat perfect aansluit bij de wensen en behoeftes van de organisatie? Onze Beschermheren- en dames hebben veel ervaring met het opstellen van een beleid dat werkt. Neem daarom vandaag nog contact op en zet de eerste stappen naar IB als integraal onderdeel van de organisatie.
Beschermheren
1101 BS Amsterdam Zuid Oost
T 020 21 70 444
info@beschermheren.nl
Routebeschrijving
A man should look for what is, and not for what he thinks should be.
Albert Einstein