Wat is het geheim voor een optimale informatiebeveiliging? Het implementeren ervan is immers niet altijd even eenvoudig. Er liggen allerlei obstakels op de loer. Terugkijkend op de diverse trajecten waarbij wij vanuit Centric in de laatste tien jaar betrokken waren, tekent zich een aantal duidelijke succesfactoren af. Ik heb de tien meest kritische succesfactoren voor de implementatie van informatiebeveiliging op een rij gezet.
1. Beleid
Een van de belangrijkste pijlers van informatiebeveiliging is beleid. Het hoogste management moet het beleid formuleren, dragen en uitdragen naar de rest van de organisatie. Niet omdat het moet van derden, maar vanuit een oprechte motivatie. Ook moet de organisatie informatiebeveiliging zien als een doorlopend proces en niet als een project. Een valkuil is het concentreren van de aandacht op enkel de it-aspecten van informatiebeveiliging en/of op het vertrouwelijkheidaspect van digitale informatie. Het gaat echter om informatiebeveiliging in de meest brede zin van het woord.
2. Managementsteun
Steun van het (hoogste) management is onontbeerlijk bij de inrichting en de implementatie van informatiebeveiliging. Het vormt het fundament en uit zich in het (onder)steunen van beslissingen, het dragen en uitdragen van maatregelen, het beschikbaar stellen van (financiële) middelen, voorbeeldgedrag en het stimuleren van het beveiligingsbewustzijn.
3. Organisatie
Om informatiebeveiliging als proces te laten werken, moet de organisatie dat proces ondersteunen. Dat betekent dat de organisatie functies, rollen, taken en verantwoordelijkheden moet koppelen aan personen. Een belangrijke coördinerende functie is die van (informatie) beveiligingsfunctionaris. Het heeft de voorkeur deze rol niet binnen de afdeling it te beleggen, maar op een algemeen, breder niveau. Een managementforum kan de diverse onderdelen van de organisatie vertegenwoordigen en tijdens periodieke bijeenkomsten het proces evalueren, incidenten bespreken en leerpunten formuleren.
4. Passende maatregelen
De maatregelen die getroffen worden, moeten passen bij de organisatie en afgestemd zijn op de risico’s die er zijn voor de bedrijfsvoering. Er zal dus een goed inzicht moeten zijn in de bedrijfsvoering, de diverse informatiestromen en de impact van dreigingen. Een adequate beveiliging van informatie is dan ook maatwerk.
5. Cultuur
Informatiebeveiliging is voor elke organisatie anders. Een voorwaarde voor een levensvatbare implementatie is dat de uitgangspunten en de wijze van implementatie passen bij de cultuur van de organisatie.
6. Kennis
Om aan de slag te gaan met informatiebeveiliging, is kennis van het gehele landschap van informatiebeveiliging nodig. Denk aan aspecten als organisatie en procedures, technische en fysieke maatregelen, communicatie en bewustwording. Daarnaast is kennis van relevante wet- en regelgeving en ontwikkelingen in de branche belangrijk.
7. Budget
Zonder budget geen informatiebeveiliging en geen veilig huis. Al snel kun je veel bereiken tegen relatief lage financiële investeringen. Denk daarbij aan bewustwording en de aanscherping van procedures. Maar uiteindelijk vraagt informatiebeveiliging om tijd en middelen. Zorg dat het standaard terugkomt in de jaarbegroting; dan hoeft er niet jaarlijks een discussie over plaats te vinden.
8. Communicatie
Zowel tijdens de inventarisatie-, implementatie-, als operationele fase is communicatie erg belangrijk. Stem de boodschap af op de doelgroep en geef aandacht aan eventuele weerstand.
9. Awareness
Het bewust zijn van informatiebeveiliging is essentieel om het te laten ‘leven’. Tegelijkertijd is het een van de meest lastige aspecten om te bereiken en te behouden. Veiligheid moet een tweede natuur worden van medewerkers.
10. Evaluatie en onderhoud
Evalueer periodiek of het beleid en de huidige inrichting van het proces nog aansluiten op de behoefte van de organisatie. Zijn de uitgangspunten veranderd, stellen de organisatieonderdelen andere eisen, voldoet de organisatie nog aan de wet- en regelgeving en wat zijn de leerpunten naar de toekomst toe?
De top 10 is ook in animatievorm te bekijken.
Beste Gerard,
Dank dat je aangeeft in je lijst waarom het zo slecht gesteld is met informatiebeveiliging. Je begint bij beleid en dat is meestal een pittige discussie. Beleid heb je nodig, maar begin vooral simpel op een aantal A4s, niet meer en ga vooral doen ipv zorgen dat het beleidsfunctie wordt afgehamerd in een een meeting.
Managementsteun gevraagd geeft meestal dat er geen draagvlak in de organisatie is. Een top-down benadering tot gevolg en geen adaptie door onderliggende lagen. het beleid ligt er en het management zegt dat het moet, maar hoe nu verder?
Processen en budgetten toevoegen, dat gaat niet werken want niemand wil nog iets uitvoeren wat door een vreemde is bedacht en door het management is goedgekeurd.
Mensen uit de beveiligingshoek moeten gaan doen aan omdenken. Wees geen politieagent f het slimste jongetje van de klas, maar probeer mensen te helpen. Geen richting aan voor beveiliging en start met de architectuur. Geef in de architectuur aan waar de essenties voor beveiliging moeten komen te liggen, ondersteun projecten vanuit de architectuur en zorg dat er richtlijnen komen die toetsbaar zijn in de praktijk. Zorg voor toegevoegde waarde in project en ontwikkelings processen.
Schrijf na een jaar je bevindingen op papier en noem dit het beleid, herhaal dit na het 2e en 3e jaar. Kijk na 3 jaar tuig en bemerk dat beveiling in de haarvaten van de onderneming is geraakt, zonder druk, moeten of wetgeving, executies en kielhalen.
Geniet van je succes, leg de lat hoger en ga door. Na 5 jaar is de informatie beveiliging op orde.
Beste Gerard,
Dankjewel voor deze uiteenzetting, waarbij het vooral opvalt dat je eigenlijk geen enkel technisch aspect noemt. Je geeft aan dat het vooral organisatorisch een uitdaging is.
Ik ben het dan ook helemaal met jou eens!
Volgens mij is in de titel helaas het woord “kritsiche” weggevallen. Na het lezen wordt dat pas duidelijk.
Kan de titel nog worden aangepast?
Ik mis eigenlijk de prioriteirten in dit verhaal.
Het punt op nummer 9 Awareness en gebruikers is het meest kritisch en zou misschien wel op nr 1 moeten staan.Want zonder boging bij de gebruikers blijven er teveel risico’s open.
Als toevoeging zou je nog kunnen meenemen dat beveiliging eigenlijk een proces van continous montoring zou moeten zijn met factoren als up to date houden, certificering, terugkoppeling etc.
Suggestie aan de redactie: Kunnen jullie dat bij het schrijven van het artikel wat duidelijker meegeven aan de schrijver? Het woord kritisch was in dit geval kritisch 😉
Gerard,
Goed dat je deze punten benoemt. Veelal zie ik dat organisaties worstelen en het vizier richten op slechts enkele van de punten. Security Management vraagt om een integrale aanpak en wordt daardoor een intensief verandertraject.
Ik denk dat bij de door jou genoemde punten een overzicht hoort van succesfactoren voor een veranderaanpak. Dan denk ik aan de aanpak van Kotter (Het hart van de verandering).
Stap 1: Urgentiebesef vestigen
Stap 2: Een leidende coalitie vormen
Stap 3: Een visie en strategie ontwikkelen
Stap 4: De veranderingsvisie communiceren
Stap 5: Een breed draagvlak voor de verandering creëren
Stap 6: Korte termijnsuccessen genereren
Stap 7: Verbeteringen consolideren en meer verandering tot stand brengen
Stap 8: Nieuwe benaderingen verankeren in de cultuur
Hoe dit uitpakt voor het organisatiebreed invoeren van security management zal voor iedere organisatie er anders uitzien.
Toch is het belangrijk om uit de cirkelredenatie te komen dat ‘management support nodig is’ en dat ‘dit zo’n moeilijk onderdeel is’. Een veranderaanpak kan daar goed op inspelen.
Nogmaals, ik ben het eens met je lijst. Wellicht dat een prioriteit daarin een mooie toevoeging is. Kern blijft voor mij dat organisaties integraal deze punten moet aanpakken in een goed gestructureerde en begeleide veranderaanpak.
Bedankt voor de reactie(s)!
Er zitten m.i. inderdaad niet direct prioriteiten (qua weging) in deze 10 factoren, je zal ze allemaal voldoende aandacht moeten geven. Ze zijn allemaal kritisch.
De lijst heeft wel een bewuste opbouw (qua volgorde). Zo heb ik beleid op 1 gezet, omdat dat de richting aan zal moeten geven (ook voor de gewenste awareness).
De toevoeging van de stappen voor verandermanagement is absoluut interessant! In feite spelen deze stappen binnen elk van de 10 items.
lees ook eens de 10 essentials for CIO´s zoals geformuleerd door de IBM CISO, Kristin Lovejoy.
Heb daar ook een slidedeck van voor geinteresseerden.