Loop geen overbodige (imago) schade op

Nuance is het woord dat hier goed bij past. Zo ook bij de situatie van New York Pizza. Wat hen is overkomen is flink vervelend, zonder twijfel. Voornamelijk voor de keten zelf en diens leverancier, maar ook voor pizza-eters als jij en ik. Kunnen we hier echter nog oprecht verrast over zijn of begint dit langzamerhand iets te worden waar we mee (moeten) leren leven? Als we informatiebeveiliging blijven benaderen zoals het nu grotendeels gedaan wordt dan zal dit inderdaad het geval zijn. Met alle gevolgen van dien overigens. Misschien haal jij je schouders op als er een e-mailadres van jou op straat komt te liggen maar het heeft diepere gevolgen dan je mogelijk zou denken. Zo kan een datalek bij een organisatie een flinke deuk betekenen in het aantal klanten dat daar nog gaat shoppen. Vergelijk het met een koude pizza of een warm glas bier. In beide gevallen wil je er liever niet voor betalen en je zal er de volgende keer zeker niet meer bestellen. Ditzelfde zal plaatsvinden op het moment dat bedrijven niet zorgvuldig genoeg omgaan met hun klantgegevens.

Makkelijker gezegd dan gedaan? Dat is zeker waar, toch zien we in de praktijk dat het wel degelijk mogelijk is.

Informatiebeveiliging als business-enabler

En dat begint bij het management. Als daar unaniem is besloten dat informatiebeveiliging geld kost en niks oplevert dan ben je plots zeer ver van huis. Het enige dat je dan nog kan doen is wachten totdat er iets gebeurt en haast hopen dat er dan wel reactief wordt gehandeld vanuit datzelfde management. Maar dan is het eigenlijk al te laat. Is het management echter wat scherper op informatiebeveiliging en ziet men dit (terecht) als een business-enabler? Dan gaan we de goede kant op. De volgende stap is om nu daadwerkelijk actie te ondernemen, budget beschikbaar te stellen en de informatiebeveiliging goed in te regelen.

‘Juist inregelen’, dat hebben we vaker gehoord van jullie. Maar hoe dan?

IB bestaat uit een aantal aspecten. Waarvan één de ‘human factor’ is. Ofwel, je kan zoveel technische en organisatorische maatregelen doorvoeren als je wilt maar als je personeel niet op de hoogte is dan zal het geen fluit uitmaken. Dat is redelijk zwart-wit maar wel wat we in de praktijk veel tegenkomen. Het geld dat je dan aan informatiebeveiliging hebt uitgegeven had je net zo goed kunnen uitgeven aan koude pizza’s. In beide gevallen word je er niet vrolijker of veiliger van.

Weten waar de risico’s zitten is het halve werk

Naast het meenemen van het voltallige personeel in dit proces is het van belang om te weten waar de meeste risico’s binnen de organisatie zich bevinden. Deze inzichten kunnen relatief makkelijk worden vergaard aan de hand van een risicoanalyse. Zo weet je meteen waar geïnvesteerd dient te worden om significante risico’s te verlagen of te verhelpen. Dit is een grote stap in het correct organiseren en structureren van IB binnen de organisatie.

Structureren en organiseren? Niet zo moeilijk doen toch? Gewoon lijst erbij pakken, vinkje zetten en klaar is Kees! Toch..?

In aanvulling op de vorige twee stappen is het ook van belang om verantwoordelijkheden te beleggen bij meerdere medewerkers en deze daarover te laten rapporteren. Dit helpt met een stukje ‘bewustwording’ door de hele organisatie en toont ook aan dat informatiebeveiliging geen project is maar een proces. Als organisatie kan je niet stilstaan en verwachten dat alles om je heen ook stopt met bewegen en ontwikkelen. Wat vandaag helemaal veilig is, kan morgen zo lek als een natte pizzadoos zijn. Kijk maar naar die eerder benoemde keten. Het incident vond plaats bij een van hun leveranciers.

Hier hebben we in oktober 2020 nog een heel artikel aan gewijd. Nog veel te vaak wordt er een overeenkomst aangegaan met een leverancier en wordt er tussen neus en lippen wat navraag gedaan over wat zij aan informatiebeveiliging doen. Onder het mom van ‘goed genoeg’ wordt daar vervolgens blindelings in vertrouwd. Fout! Zeker wanneer je corebusiness in grote mate afhankelijk is van de leverancier, dient er veel meer te gebeuren. Op zijn minst is dat het inregelen van leveranciersmanagement. Aan de hand van periodiek overleg, en in combinatie met aantoonbare incidenten en maatregelen overzichten, wordt gekeken naar resultaten van onafhankelijk uitgevoerde audits. Waar nodig worden op basis hiervan ook nieuwe acties bepaald.

Met de juiste inzichten snel stappen zetten

Ondanks dat dit misschien een flinke dosis aan informatie en ‘te nemen stappen’ is, komt het in de basis neer op het volgende: Informatiebeveiliging gaat om het verkrijgen van inzichten op meerdere aspecten binnen de organisatie. Vanuit mens, organisatie en techniek krijg je met een riskbased benadering dit goede inzicht. Dit stelt je in staat om proactief te handelen en incidenten tot een minimum te beperken. Door het welbekende ‘plan, do, check, act’ in te voeren zal je in staat zijn om vroegtijdig in te spelen op veranderingen en budget beschikbaar te stellen daar waar het écht nodig is. Geen geld meer onnodig weggooien maar echt risico’s verminderen en stappen zetten naar een veiligere en betrouwbare onderneming.

Wil jij ook een eerste stap zetten naar een sterk stukje informatiebeveiliging? Doe dan onze gratis risicoscan. Zo krijgt u in maximaal 5 minuten meteen duidelijke inzichten waar de risico’s binnen jouw organisatie zich bevinden en welke acties je kunt ondernemen om dit te verhelpen. Na het invullen zal je binnen een week een uitgebreid rapport van ons ontvangen. Liever vrijblijvend even sparren met onze consultants? Dat kan natuurlijk ook!