icon-arrow icon-check icon-mail icon-phone icon-facebook icon-linkedin icon-youtube icon-twitter icon-cheveron icon-download icon-instagram
Werken bij B-able
Blog 03/10/2018

Dé sleutel voor succes van informatiebeveiliging

sleutel

Elkaar feedback geven. Klantvriendelijk denken. Clean desk policy. Bij elk speerpunt in uw organisatie is er een voorbeeldrol voor het hoger management weggelegd. Ook bij informatiebeveiliging! Mijn ervaring is dat het hoger management echt achter het belang van informatiebeveiliging moet staan: door het belang van informatiebeveiliging actief uit te dragen, te faciliteren en kartrekker te zijn op de achtergrond. Betrokkenheid van het management is dé sleutel voor het succes van informatiebeveiliging in uw organisatie. Alleen door betrokkenheid van het management komen de vier basiselementen bij informatiebeveiliging van de grond. In dit blog schets ik drie soorten managementbetrokkenheid die ik in de afgelopen jaren heb gezien en hun impact op informatiebeveiliging.

Het intrinsiek gemotiveerde management

Eén van de ingenieursbureaus in Nederland heeft een actieve directie die zelf ook gemotiveerd is om informatieveilig te werken. Dat merk ik aan verschillende dingen: de directieleden zijn altijd aanwezig bij werkoverleggen, denken actief mee over beleid op het gebied van informatiebeveiliging en willen precies weten wat er speelt. Bijvoorbeeld toen de SD-kaarten in mobiele telefoons nog onbeveiligd bleken. Een paar maanden na de oplossing vroeg een directielid nog even naar de stand van zaken.

Gevolg: informatiebeveiliging continu op de agenda

De directie van dit ingenieursbureau beseft welke invloed informatiebeveiliging op het imago kan hebben. Zij wil goed voor haar klanten en opdrachtgevers zorgen. Regelmatig krijgen medewerkers te maken met zeer hoog vertrouwelijke informatie in aanvragen van klanten en opdrachtgevers. Natuurlijk moet hier op een goede manier mee omgegaan worden. Het bewustzijn in deze organisatie is al prominent aanwezig. Deze organisatie had alleen nog wat handvatten van me nodig om informatiebeveiliging goed in te regelen.

Het management met uitstelgedrag

Eén van de zorginstellingen in Nederland heeft een IT-manager in dienst. Deze persoon is in de praktijk verantwoordelijk voor de informatiebeveiliging binnen de zorginstelling. Deze persoon is zich bewust van en overtuigd van de noodzaak van informatiebeveiliging. Helaas is hij al jaren bezig om de directie te overtuigen van die noodzaak. Zo duurt het nu bijvoorbeeld al meer dan een jaar om het nieuwe beleid voor informatiebeveiliging goedgekeurd te krijgen. Vanwege geld of andere issues wordt het steeds weer uitgesteld.

Gevolg: geen structurele aanpak voor informatiebeveiliging

Het beleid binnen de zorginstelling is incidentgedreven en kent geen structurele aanpak. Informatiebeveiliging krijgt zo niet de prioriteit die het nodig heeft. Niet alleen brengt dat risico’s mee voor de organisatie, het is ook nog eens flink frustrerend voor de medewerkers die het belang van informatiebeveiliging wel zien.

Het management na een overname

Een aantal jaar geleden ondersteunde ik een Security Officer om het ISO-certificaat op het gebied van informatiebeveiliging te halen. Binnen deze zorggerelateerde organisatie waren de taken en rollen op het gebied van informatiebeveiliging duidelijk verdeeld. Totdat de organisatie werd overgenomen door een andere partij. De directeur en Security Officer van het eerste bedrijf kregen geen plek in de nieuwe organisatie. De rollen en taken rondom informatiebeveiliging werden niet aan een andere medewerker toebedeeld.

Gevolg: risico’s bij organisatorische wijzigingen

Bij deze organisatie kwam uiteindelijk zelfs het ISO-certificaat in gevaar. Gelukkig hebben we dat nog kunnen voorkomen, maar het laat wel zien hoe belangrijk het is om de rollen en taken goed te verdelen. Zeker na een overname kan er sprake zijn van grote ontevredenheid onder medewerkers en een groot verloop. Informatiebeveiliging wordt dan alleen nog maar belangrijker. Denk bijvoorbeeld ook aan diefstal van intellectueel eigendom.

Tot slot

Ik daag u uit om eens kritisch naar het hoger management in uw organisatie te kijken. Welke voorbeeldrol speelt het management wel of niet als het gaat om informatiebeveiliging? Waar liggen nog kansen voor verbetering? Natuurlijk kunt u ons ook om advies op dit gebied vragen. Ik schuif graag, vrijblijvend, aan om met u het gesprek met uw management aan te gaan.

Overzicht blogs
Business Manager
Dennis Iliohan /
Business Manager

Benieuwd wat de security-experts voor jouw organisatie kunnen betekenen? Neem contact op!