Informatiebeveiliging, ik weet dat het belangrijk is maar waarom..?

Heel typerend voor bovenstaande titel was een gesprek dat we niet al te lang geleden hadden met een organisatie die nauw verwant is aan de HVA. Na een incident daar, was er vanuit het management extra budget toegezegd om ‘informatiebeveiliging naar een hoger niveau te tillen’. Dit is natuurlijk een goede beslissing en dit willen we ook zeker niet bagatelliseren. Maar de manier waarop dit vervolgens gedaan wordt, dat spreekt boekdelen. Iemand in de directie, vermoedelijk de man of vrouw die de portemonnee beheert, is wakker geschud en zegt extra budget toe om tot aan de zomervakantie extra capaciteit in te zetten voor het op orde krijgen van haar informatiebeveiliging. Daarna is het budget op en kun je stellen dat een groot deel van de goedbedoelde activiteiten in stilte sterven. Zonde van het geld, zonde van de gevraagde inspanning van je mensen en een groot afbreuk aan vertrouwen van de medewerkers!  

Het bovenstaande voorbeeld is verre van uniek. We komen het zelfs dagelijks tegen. Management en bestuur weten van het bestaan en belang van informatiebeveiliging maar zien het als iets dat maar lastig te begrijpen is, veel inspanning vraagt en geld kost. En de aard van het beestje is toch om dingen die lastig zijn en geld kosten te vermijden. Helaas vaak totdat het te laat is. Dit heeft ook met het imago van informatiebeveiliging te maken, het wordt nog altijd gezien als een soort van nare docent met veel te veel regels en daarnaast niet direct iets toevoegt aan het (bedrijfs)resultaat. Zonde om in te investeren dus! (zucht..). Maar kan het ook anders?

“Managers en bestuurders steken hun kop in het zand”

In het land van de koppige is informatie koning?

Resultaten, resultaten en nog meer resultaten. Dat is waar het elk bedrijf om is te doen. Als er in Q1 een stijging van 20% is geweest dan wordt het dubbele in Q2 verwacht. Maar bedrijfsresultaat en informatie gaan heel nauw samen. Want om elk kwartaal nog beter te draaien dien je ervoor te zorgen dat de benodigde informatie en middelen beschikbaar zijn. We zien dan ook dat bedrijven op veel vlakken bezig zijn met het efficiënt inrichten van processen om eventuele storingen te voorkomen. Tenslotte kan een onderbreking van het primaire bedrijfsproces dodelijk zijn dus daar wordt veel aandacht aan geschonken. Dit vergroot je betrouwbaarheid als bedrijf en daarmee je revenu. Dat is dus een redelijk direct bedrijfsresultaat zou je zeggen.

Het probleem zit hem echter in het ‘hoe houd ik die informatie die ik nodig heb voor een vergroting van mijn revenu beschikbaar, betrouwbaar en integer’. Wellicht een goede titel voor ons volgende webinar? Veel te vaak wordt dit om onduidelijke redenen de verantwoordelijkheid van IT. Deze harde werkers hebben het vaak echter al hartstikke druk met het opleveren van lopende projecten en vragen vanuit de business. Door een gebrek aan tijd, capaciteit en kennis hebben ze vaak geen idee waar ze moeten beginnen, waar de risico’s zich bevinden en wat de waarde is van bepaalde data. Daarnaast is de vraag hiernaar ook regelmatig niet opgenomen in het budget voor dat jaar. Kortom, a recipe for distaster.

Als je weet waar het fout zal gaan, kan je veel effectiever te werk gaan

En wat nu als je kunt voorspellen waar de kans het grootst is dat er iets fout gaat? Dan kan je zelfs met je beperkte IT-budget veel efficiënter je bedrijfsvoering voeren. En dat wil je toch! Dit begint echter wel met het borgen van een bepaald fundament binnen de organisatie. Van facilitair medewerker tot directeur dient er bewustwording te worden gecreëerd. Dit is echter veel te vaak niet het geval. Combineer dat met het volledig ontbreken van het in kaart brengen van risico’s, laat staan de impact hiervan, en je hebt de oorzaak van het probleem.

Omdat de bovenstaande twee punten niet of nauwelijks zijn uitgevoerd wordt het op efficiënte wijze organiseren van je informatiebeveiliging een onbegonnen zaak. Dit is echter zo onnodig. Op het moment dat er een fundering ligt en het is duidelijk welke risico’s het meest impactvol zijn, kan je veel adequater handelen. Je zult dan ook de juiste inzichten hebben met betrekking tot welke risico’s je kunt en wilt lopen als organisatie en welke niet. Zodoende wordt de kans op een incident een stuk kleiner en dit hoeft echt niet je volledige budget te kosten.

Ontbreekt bij jullie ook het juiste fundament en wil je informatiebeveiliging op een efficiënte wijze organiseren? Vergroot je kans op succes en start met het structureren en organiseren van informatiebeveiliging! Mocht je eens vrijblijvend willen sparren? Neem dan contact met ons op voor een vrijblijvend gesprek. Samen zorgen we voor een fundering waar je stevig op kunt voortbouwen.

“In de aankomende jaren zullen bedrijven steeds vaker in verschillende vormen impact ervaren op hun revenu omdat er op bestuurs- en directieniveau onvoldoende aandacht wordt besteed aan informatiebeveiliging.”