De effectiefste en bovendien eenvoudigste manier om de informatiebeveiliging van organisaties te verhogen, is het verhogen van de betrokkenheid van de directie bij het informatiebeveiligingsbeleid. De directie of raad van bestuur bevindt zich als informatie-eigenaar namelijk in de beste positie om beveiligingsinvesteringen te kiezen die zijn afgestemd op het bedrijfsbeleid.
Dat zegt beveiligingsexpert Yuri Bobbert, op basis van een enquête onder een expertpanel van beveiligingsmanagers, risicomanagers, wetenschappers en auditors. De maatregelen die het meest bijdragen aan verhoging van de informatieveiligheid, zijn betrokkendheid van de directie bij het informatiebeveiligingsbeleid, bescherming tegen malware en een classificatie van systemen op basis van een risico- en impactanalyse. Dat komt doordat de maatregelen zowel effectief zijn als eenvoudig te implementeren. Daarna volgen versleutelingssoftware en gebruikersidentificatie en -authenticatie.
Top vijf van eenvoudige en effectieve informatiebeveiligingsmaatregelen
Maatregel |
Effectiviteit |
Eenvoud van implementatie(op een schaal van -5 tot 5) |
Betrokkenheid directie bij informatiebeveiliging |
5 |
4,33 |
Antivirussoftware |
3,55 |
4,17 |
Systeemclassificatie op basis van risico- en impactanalyse |
3,33 |
3,5 |
Versleutelingstechnieken |
3,83 |
2,67 |
Gebruikersidentificatie en -authenticatie |
3,67 |
2,67 |
Management bemoeit zich niet met beveiligingsbeleid
40 procent van het management bemoeit zich volgens onderzoek van Bobbert niet met het informatiebeveiligingsbeleid. Daardoor zijn beveiligingsinvesteringen onvoldoende afgestemd op het bedrijfsbeleid. Doordat risico-en impactanalyses vaak achterwege blijven, weten bedrijven bovendien niet welke maatregelen het meest kosten-efficiënt zijn.
Volgens Bobbert komt dat deels doordat ict'ers de risico's vaak niet in termen van zakelijke impact kunnen vertalen. De voornaamste reden moet echter worden gezocht in een lage betrokkenheid van het management bij het informatiebeveiligingsbeleid: slechts bij 59 procent van de onderzochte organisaties bemoeien informatie-eigenaren zich met het beveiligingsbeleid. Juist die business kan volgens Bobbert echter bepalen welke beveiligingsmaatregelen noodzakelijk zijn.
Informatiebeveiliging
Bobbert, die tevens directeur is van informatiebeveiligingsbedrijf B-Able, onderzocht welke beveiligingsmaatregelen het effectiefst en eenvoudigst te implementeren zijn, welke maatregelen bedrijven nemen, en welke drempels er bestaan voor het nemen van beveiligingsmaatregelen. De onderzoeker vroeg veertig ict-managers van bedrijven met tussen de 100 en 2500 systemen om het niveau van informatiebeveiliging binnen hun organisatie te beoordelen op een schaal van één tot en met vijf volgens het Cobit-framework.
Nederlandse organisaties moeten vanaf een bepaalde omvang rekening houden met verschillende beleidslijnen op het gebied van informatiebeveiliging. Zo schrijft de Wet Bescherming Persoonsgegevens voor dat zorgvuldig met persoonsgegevens moet worden omgesprongen. En uit de Wet op de Jaarrekening vloeien bijvoorbeeld eisen voort op het gebied van databeschikbaarheid en -betrouwbaarheid.
“Management bemoeit zich niet met beveiligingsbeleid”
De ideale overlevings-strategie van een manager.
Zo kun je jezelf altijd verschuilen achter uitspraken zoals “ich habe es nicht gewust” en je eigen verantwoordelijkheid blijven afschuiven op “die ander”. Daarnaast kunnen ze dit ook niet, want ze kijken alleen maar naar de kosten van onderwerpen waar ze zelf inhoudelijk geen verstand van (willen) hebben 🙂
@RV: niet echt, verantwoordelijkheid valt in deze niet te delegeren. I.m.h.o. is het zelfs ‘een beetje dom’.
Ik ben het eens met bovenstaand artikel.Toe te voegen:
Om informatiebeiliging te ‘promoten’, moet je de taal spreken van de investeerders (MT). Bij jouw verhaal is het dan belangerijk dat je(Layman term)KPI’s presenteert die de MT kan gebruiken bij het monitoren van de informatiebeveiligingsimplementatietraject. Een MT is pas overtuigd als je de informatiebeveiligingsvoorstel koppelt aan o.a. financiele KPI’s. Iets waar ze wel kennis van hebben.
Maak het een terugkerend punt op SMT, TMT en OMT agenda door hele organisatie heen. Iedere vergadering weer. En het kan niet zijn dat er niets is gebeurd. Dus wel even definieren wat het bedrijf dan met beveiligingsbeleid bedoeld.
Geldt toch voor elk vakgebied, dat men daarbinnen vindt dat directie meer betrokken zou moeten zijn. En dat dat effectief gunstig effect heeft op dat specialisme.
Management bemoeit zich vast ook te weinig met High Availability van ICT resources enne hoge verloop personeel en schoonmaken toiletten … weer geen pleerol. Vraag maar eens op de werkvloer.
Dat het topmanagement altijd direkt betrokken gewenst wordt te zijn bij elk vakgebied of initiatief heeft naast motivatie van de medewerkers ook te maken met het ‘beveiligen’ (lees: veiligstellen) van de uitvoeringsbudgetten voor het specifieke project, vooral in onzekere tijden waar de concurrentie om het beschikbare geld zwaar is. Je projekt zo hoog mogelijk verankeren is daarom het motto, vooral bij economische teruggang. De verplichting die hiertegenover zou moeten staan is dat er gedurende het gehele projekt een goede business case (i.c. kosten/baten) bestaat, bewaakt wordt, gerealiseerd en aan het eind geevalueerd wordt.