De kansen die we laten liggen rondom informatiebeveiliging

Dinsdag 17 september 2019| Leestijd: 4 minuten | Iris Boderie

Met de komst van de Algemene Verordening Gegevensbescherming (ook wel AVG of GDPR genoemd) staan we allemaal op scherp als het gaat om informatiebeveiliging. Steeds meer organisaties zijn zich ervan bewust dat ze veilig met (persoons)informatie om moeten gaan. Kelly de Jong, business consultant bij Infoland, ziet echter een belangrijk aandachtspunt! “Wat ik bij veel klanten ervaar, is dat zij insteken op één onderdeel van informatiebeveiliging. Denk aan het voorkomen van datalekken. Informatiebeveiliging is echter veel meer dan dat. Door op één onderdeel te focussen, lopen organisaties veel waardevolle kansen mis.”

Even voor de duidelijkheid: wat houdt informatiebeveiliging dan precies in?

“Informatiebeveiliging wil zeggen dat je verschillende maatregelen treft om de beschikbaarheid en de betrouwbaarheid van informatie (binnen jouw organisatie) te kunnen garanderen. Door op deze manier de informatievoorziening te regelen, zorg je niet alleen voor continuïteit, maar ook voor een goede opvolging bij situaties die niet volgens het gewenste proces verlopen. Denk aan onveilige situaties of een daadwerkelijk incident. Mocht zich zo een dergelijke (ongewenste) situatie voordoen, dan kun je direct maatregelen treffen om  de kans op risico’s in de toekomst te verkleinen en eventuele schade te beperken. Helaas wordt informatiebeveiliging momenteel nog vaak gezien als ICT-verantwoordelijkheid. En daar laten organisaties kansen liggen. Informatiebeveiliging kan namelijk alleen effectief zijn als het onderdeel wordt van de bedrijfscultuur. Dit zie je bijvoorbeeld ook in de kwaliteitshoek. Iedereen binnen een organisatie moet bijdragen aan de kwaliteit, wil het succesvol zijn. Hetzelfde geldt voor informatiebeveiliging.”

Waarom moeten organisaties meer doen met informatiebeveiliging?

“Omdat het een risicovol gebied is. Eén klein foutje kan grote gevolgen hebben. Iedereen binnen de organisatie moet dus weten hoe veilig te handelen met informatie. Natuurlijk speelt ICT hierin een belangrijke rol. Zij zijn tenslotte vaak de personen die ons autorisaties geven op netwerkschijven en software, wijzen op bijvoorbeeld een scherm dat niet vergrendeld is en ervoor zorgen dat onbevoegden niet bij belangrijke informatie kunnen. Maar als iedereen elkaar nou eens op risicovolle situaties aanspreekt, verklein je de kans op incidenten aanzienlijk. Mijn advies: stel een Security officer aan die (samen met ICT) de informatiebeveiliging gaat waarborgen én creëer een cultuur waarbij mensen elkaar durven aan te spreken op onveilige situaties. Het management speelt hier trouwens ook een belangrijke rol in. Ook zij moeten hierin hun verantwoordelijkheid nemen door het goede voorbeeld te geven.”

Hoe kan men de informatiebeveiliging waarborgen?

“Om het thema informatiebeveiliging echt te laten leven binnen een organisatie, raad ik organisaties aan om gebruik te maken van een managementsysteem, met als doel om (vertrouwelijke) informatie beter te beveiligen. Een voorbeeld van een dergelijk managementsysteem is ISMS. Dit systeem sluit aan bij het beleid en de strategie van de organisatie en dient geïntegreerd te worden in de huidige processen. Hierbij wordt vaak uitgegaan van de PDCA cyclus. Hiermee kunnen zowel de dreigingen van buitenaf als de behoeften van binnenuit worden aangepakt.”

Volgens Kelly kan een kwaliteitsmanagementsysteem organisaties uitstekend ondersteunen bij dit proces. “Alle input vanuit organisaties (denk aan meldingen van incidenten, calamiteiten en klachten, maar ook geformuleerde jaarplannen, (periodieke) checks etc.) wordt in een dergelijk systeem geïdentificeerd zodat er continu analyses op uitgevoerd kunnen worden. Denk hierbij ook aan normen of kwaliteitskaders (zoals ISO 27001 en specifiek voor de zorg NEN 7510) waar de organisatie mee te maken heeft. Al raad ik organisaties wel aan om deze normen niet als leidraad te gebruiken maar om ze in te zetten als extra check (mis ik nog belangrijke zaken in mijn analyses?).

Aan de hand van de analyses kunnen er verbeteracties worden uitgezet die vervolgens weer doorvertaald kunnen worden naar het gewenste beleid, de cultuur, proces en/of procedure. Om de PDCA cyclus volledig rond te krijgen, kan ook de planning en het stukje control plaatsvinden in de software. En dit stelt organisaties in staat om het proces continu te verbeteren omdat ze altijd inzicht hebben in de voortgang van hun doelen.” Benieuwd hoe dit er in de praktijk uitziet? Bekijk dan de opname van het webinar over de PDCA cyclus in combinatie met het kwaliteitsmanagementsysteem iProva.

Creëer een veiligheidscultuur!

Nog een bijkomend voordeel van het inzetten van een kwaliteitsmanagementsysteem (bij informatiebeveiliging) is dat je hiermee de betrokkenheid binnen de organisatie vergroot. Je creëert namelijk een cultuur waarbinnen incidenten veilig gemeld kunnen worden zonder dat men direct ergens op afgewezen wordt. En dat heeft als voordeel dat meer mensen een melding durven in te dienen waardoor onveilige situaties verminderd kunnen worden. Incidenten worden namelijk eerst uitvoerig geanalyseerd voordat er maatregelen worden genomen. Laat ik een voorbeeld noemen ter verduidelijking:

Een medewerker die zijn/haar computer vergeet te vergrendelen, doet dit vaak onbewust. De maatregel die het meest voor de hand ligt, is de medewerker aanspreken op zijn gedrag. Maar wat nou als het onderwerp informatiebeveiliging nooit ter sprake is gekomen tijdens zijn/haar inwerktraject. Dan is het niet zozeer de fout van de medewerker maar die van de organisatie. Door het incident te analyseren, kan het inwerktraject worden aangescherpt en wordt de kans op herhaling aanzienlijk verminderd.”

Conclusie

De boodschap die Kelly tot slot aan iedereen mee wil geven, is: veranker informatiebeveiliging in alle processen en dagelijkse werkzaamheden. Doe dit door:

Wil je samen met Kelly verder sparren over dit onderwerp óf wil je je laten adviseren over de mogelijkheden voor jou? Neem dan vrijblijvend contact met ons op via steluwvraag@infoland.nl of 040-848 58 68.