Informatiebeveiliging:

Een zaak van ons allemaal!

verloren USB

Heb ik een probleem? Nou en of!

In de huidige maatschappij zijn geautomatiseerde systemen niet meer weg te denken. Internet, kantoorautomatisering, mobiele telefonie en sociale media - om maar enkele toepassingen te noemen - maken alle gebruik van informatietechnologie. Maar hoe staat het met de beveiliging van al deze informatie zelf? Wat zouden we moeten doen om te voorkomen dat onbevoegden aan de haal gaan met tegenvallende jaarcijfers of vertrouwelijke patiëntgegevens?

Uit onderzoek blijkt dat 65% van alle informatiebeveiligingsincidenten voortkomt uit bewust of onbewust handelen door de eigen medewerkers van een organisatie. Fysieke maatregelen kunnen het aantal incidenten ten gevolge van kwaadwillen gedrag reduceren. En door het bewustzijn van de medewerkers te vergroten zijn de onbewust veroorzaakte incidenten te verminderen.

Heel wat risico's

Nu hoor ik u denken: “we investeren al zoveel in informatiebeveiliging. Eens moet het wel genoeg zijn”. Daar heeft u helemaal gelijk in. De kosten van de beveiliging moeten opwegen tegen de risico’s die uw organisatie, uw medewerkers, uw klanten en uw partners lopen. Maar veel geld investeren in technische maatregelen, zonder dat er sprake is van gewenst gedrag door alle betrokkenen is geld door het afvoerputje spoelen. Goed ingericht autorisatiebeheer heeft weinig waarde als een van uw directeuren een vertrouwelijk document open op zijn scherm laat staan, terwijl hij naar een vergadering is. Een sterke firewall biedt nauwelijks bescherming als de systeemwachtwoorden nog de fabrieksinstellingen hebben. Een duur systeem met toegangspasjes is een desinvestering als uw medewerker de deur voor “een collega” openhoudt, terwijl hij deze niet kent. Zo zijn er nog vele risico’s te noemen, die niet met technische maatregelen tegen te gaan zijn. Een beveiliging is zo sterk als de zwakste schakel en dat zijn u en ik en al onze collega’s.

Opleidingen

Een van de beheersmaatregelen in de norm ISO 27001:2013 zegt: "De directie behoort van alle medewerkers en contractanten te eisen dat ze informatiebeveiliging toepassen in overeenstemming met de vastgestelde beleidsregels en precedures van de organisatie."
Uw medewerkers zijn op hun vakgebied ongetwijfeld zeer deskundig. U durft het aan om ze handelingen te laten verrichten, die uw organisatie kunnen maken of breken. Vanzelfsprekend stemt u uw opleidingsprogramma af op de taken, verantwoordelijkheden en bevoegdheden die bij hun werkniveau horen.
Maar hoe vaak schoolt u uw mensen in informatiebeveiliging? Of gaat u er vanuit dat iedereen daar voldoende kennis van heeft en vindt u bijscholing en bewustwording op dit gebied niet belangrijk? Heeft u ooit wel eens een handboek laten opstellen en uitgedeeld hoe om te gaan met informatiemiddelen en het beveiligen van bedrijfskritische gegevens? Waarschijnlijk niet.

De training informatiebeveiliging dicht het gat tussen de mooie theorie en de hardnekkige praktijk. Hij is geschikt voor alle medewerkers, hoog en laag in de organisatie. Want iedereen houdt wel eens de deur open voor een ander...