Meer aandacht voor informatiebeveiliging

In de gesprekken van deze week kwam meermaals duidelijk naar voren dat bedrijven meer aandacht willen besteden aan informatiebeveiliging. Dit komt deels voort uit een intrinsieke motivatie en deels omdat ze niet de zoveelste headline in het nieuws willen worden waarbij zij, of een leverancier, worden beticht van nalatigheid op het gebied van informatiebeveiliging. En laten we wel wezen, die kans is vandaag de dag steeds groter. We hoeven alleen maar even terug te kijken naar het nieuws van de afgelopen tijd en zien voorbeelden bij de VPRO, de Holland America Line en truck fabrikant Navistar.

De nieuwsberichten lijken dus wel degelijk een schrikeffect te hebben. Hoe onfortuinlijk het ook is voor de bedrijven die het is overkomen, het kan de spreekwoordelijke schop onder de kont zijn voor andere organisaties. Tel daar nog bij op dat veel bedrijven niet eens doorhebben dat er iets gaande is, of het gewoon niet melden zoals bij Ticketcounter, en er wordt toch voorzichtig uit vanuit het management eens geïnformeerd. ‘Hoe staan wij ervoor?’ en ‘Wie is daar eigenlijk verantwoordelijk voor?’

En die laatste vraag, dat is een belangrijke. De grootste fout die wij namelijk nog steeds tegenkomen is het beleggen van de volledige verantwoordelijkheid van IB bij de IT-manager. Je zou toch bijna medelijden krijgen met de beste dame of heer. Het kan namelijk toch niet zo zijn dat een IT-manager onafhankelijk gaat beoordelen wat goed of fout is? Het gros van de informatie binnen de organisatie wordt digitaal verwerkt en dus over de infrastructuur waar de IT-manager voor verantwoordelijk is. U snapt dat dit niet werkt. Het is daarom zo belangrijk om dit te beleggen op de juiste plek binnen de organisatie.

Waar moet de verantwoordelijkheid voor informatiebeveiliging binnen een organisatie dan wel belegd worden?

Het antwoord op bovenstaande vraag is, onzes inziens, bij de CFO. Om informatiebeveiliging echt naar het juiste niveau te brengen moet er allereerst toewijding worden getoond vanuit het management. Beleg daarom de verantwoordelijkheid hiervoor ook op managementniveau. Zodra daar het kwartje is gevallen en IB wordt gezien als proces en niet als project, is het tijd om andere belanghebbende erbij te betrekken.

Hierbij is het noodzakelijk om medewerkers te laten inzien dat dit een leuk proces is (of kan zijn) en dat je daarnaast ook echt wel trots mag zijn op het uiteindelijke resultaat. Trots omdat de organisatie een stuk veiliger opereert en trots omdat jij daaraan hebt bijgedragen. Gebruik dit dan ook als een echt leerproces en, pak dit, waar mogelijk creatief aan. Door het hele project in fases op te delen en de juiste mensen erbij te betrekken gaat informatie ‘leven’. En dat is wat je wilt bereiken. Je zult merken dat medewerkers ermee aan de slag gaan en zelf komen met opties tot verbetering en scherpe constateringen. Nu is het zaak om als werkgever te blijven faciliteren in deze levendigheid. Nogmaals, proces geen project. Om informatiebeveiliging te laten slagen moet je meer doen dan alleen zorgen dat je maatregelen implementeert. Belangrijk is een cultuur te creëren waarin medewerkers elkaar gaan coachen. De mens is tenslotte de schakel waar je aan het eind van de dag de grootste resultaten kunt behalen.

De norm van Beschermheren

Bij Beschermheren zijn we dagelijks bezig met precies dit. Wij helpen opdrachtgevers met het opzetten en uitvoeren van dit proces door te luisteren naar de wensen en deze zo goed mogelijk om te zetten naar acties. Dat begint overigens met een goede basis in ons eigen team. Een consultant van Beschermheren staat nooit alleen. Wij geloven niet dat iemand in zijn eentje over alle kennis kan beschikken. Daarom vallen wij altijd terug op de kennis van het hele team. Dit creëert naast een uitdagende en fijne werkomgeving, ook een cultuur waar vragen gesteld kunnen worden en alle collega’s de kans krijgen om doorlopend te blijven leren.

Daarnaast zorgen we er altijd voor dat op alle projecten een consultant met een karrevracht aan ervaring zit, de zogenaamde lead consultant. Hij of zij draagt de verantwoordelijkheid voor de kwaliteit van het project en is het voornaamste aanspreekpunt voor de klant. Deze aanpak heeft ertoe geleid dat we tot nu toe een 100% score hebben gehaald gedurende projecten waarin we opdrachtgevers hebben gecoacht, begeleid en operationeel hebben ondersteund. Naast de ervaring die elke consultant heeft zijn er andere factoren die wat ons betreft erg belangrijk zijn. Zo zijn al onze consultants enorm gedreven, beschikken ze over leiderschap, zijn ze kundig en klantgericht en krijgen ze allemaal veel energie van het samenwerken met de opdrachtgever.

Flexibel en meedenkend te werk gaan

Flexibiliteit is wat ons betreft ook een enorm belangrijke factor. Indien de opdrachtgever wenst het gros van het werk zelf te doen en ons te gebruiken enkel als adviseur, dan regelen we dat. Ontstaat er tussentijds toch de behoefte aan meer operationele ondersteuning van onze kant dan is dat geen enkel probleem. Zo stellen wij ons zo flexibel mogelijk op om de opdrachtgever in staat te stellen om het echt op hun manier te doen.

Benieuwd geworden hoe wij informatiebeveiliging tot leven kunnen brengen binnen jouw organisatie of lijkt het je wel wat om onderdeel te worden van ons team? Neem dan contact met ons op en we maken graag tijd voor je vrij om je verder mee te nemen in onze ervaringen, aanpak en bedrijfscultuur.