Voorkomen is beter dan genezen: drie aandachtspunten voor informatiebeveiliging

By News, Pensioenen

Begin van dit jaar is de universiteit van Maastricht volop in het nieuws; door een hack was de universiteit lam gelegd en uiteindelijk heeft de universiteit besloten losgeld te betalen. Ook nu massaal wordt thuisgewerkt, spelen cybercriminelen hier volop op in. Cybercriminelen zijn echter niet de enigen die een gevaar vormen voor de bedrijfsvoering, zo kan een brand in de serverruimte of een medewerker die per ongeluk een datalek veroorzaakt vergaande gevolgen hebben. Wat kan je als organisatie doen om deze risico’s zo klein mogelijk te maken?

Toetsingskader DNB goede basis voor informatiebeveiliging
Om een goed fundament voor informatiebeveiliging te creëren heeft de DNB een toetsingsraamwerk ontwikkeld die als good practice door financiële instellingen gebruikt kan worden. Als organisatie is dit een goed beginpunt: denk kritisch na over welke risico’s je loopt, welke risico’s je aanvaardt en welke risico’s je wilt minimaliseren. Stel een informatiebeveiligingsbeleid op en leg ook vast waar de taken en verantwoordelijkheden komen te liggen. Als je dit op papier hebt staan, dan ben je er nog niet, want hoe verloopt het nu echt in de praktijk?

Informatiebeveiliging van papier naar de praktijk
1) Wees kritisch naar jezelf als organisatie
Organisaties hebben regelmatig een te rooskleurig beeld van hoe de informatiebeveiliging geregeld is. Worden van de kritische systemen de back-ups wel conform plan gemaakt? En mocht een back-up mislukken, wanneer word je hierover geïnformeerd? Geld het strenge wachtwoordbeleid voor alle medewerkers of zijn er uitzonderingen? Als organisatie is het belangrijk om dergelijke vragen te stellen, in te zoomen op de uitzonderingen en de risico’s daarvan en maak dit aantoonbaar. Wanneer er namelijk bewijs opgeleverd moet worden, komt het vaakst naar boven dat het toch net wat anders zit dan van tevoren aangenomen.

2) Zorg voor een gedragen risicocultuur
Medewerkers weten vaak snel genoeg hoe zij de beveiligingsstappen kunnen omzeilen als dit als te omslachtig of lastig wordt ervaren. Het is van belang dat medewerkers niet alleen op de hoogte zijn van wat van hen verwacht wordt op het gebied van informatiebeveiliging, maar ook snappen waarom zij dit moeten doen. Helaas zie je in de praktijk vaak dat de bewustwording volledig en alleen is belegd bij medewerkers met een risk functie en zij daarmee al snel een roepende in de woestijn worden. Hoger management moet dan ook duidelijk uitdragen dat informatiebeveiliging niet iets is wat je ernaast doet, maar een belangrijk onderdeel is van jouw werk. Vanuit IG&H hebben we een unieke methodiek ontwikkeld voor de Plan-Do-Check-Act Cyclus om de aangepaste processen en het risicogedachtegoed goed in de organisatie te laten landen.

3) Techniek is jouw beste vriend
Goede technologische oplossingen zijn cruciaal bij het inperken van risico’s. Als het goed en eenvoudig werkt, is het een enabler om je medewerkers te ontlasten. Belangrijk hierbij is dat je duidelijk hebt welke eisen je hier aan stelt en wat je daarnaast doet als het niet mogelijk is dit technisch te ondervangen. Wees je ook bewust van de uitzondering op de regel en welke risico’s dit met zich mee brengt. Tot slot, benut de informatie die aanwezig is in de techniek en monitor hier actief op.

Zoals hierboven uit op te maken valt, kost informatiebeveiliging binnen een organisatie goed op orde krijgen zowel tijd als geld. De kosten als je hier als organisatie niet in investeert kunnen echter vele malen groter uitpakken. Zo heeft de universiteit van Maastricht bijna 200.000 euro betaald aan losgeld en moest British Airways een recordboete van 204 miljoen euro betalen vanwege een datalek. Als organisatie moet je vervolgens ook nog eens in korte tijd een inhaalslag maken. Dit is tijdrovend en een zware belasting voor de organisatie. Kortom, voorkomen is beter dan genezen.

Wil je graag meer weten over informatiebeveiliging of hoe wij als IG&H jouw organisatie hierbij kunnen helpen? Neem dan contact met ons op!

Contact
Stijn Kroonen
E: stijn.kroonen@igh.com
T: +31622623708

Klaske Visser
E: Klaske.visser@igh.com
T: +31612887472