Informatieveiligheid: dit wordt er van jou als ICT-verantwoordelijke verwacht

Als ICT-verantwoordelijke heb je meer verantwoordelijkheden dan je functienaam doet vermoeden. In het mkb ben je vaak ook verantwoordelijk voor het officemanagement of het financieel management. Grote kans dat je daardoor al worstelt met je tijd. Dan moet je ook nog eens alle technologische ontwikkelingen bijhouden om te zorgen dat je als organisatie bijblijft. En dan hebben we het nog niet gehad over de nieuwe uitdagingen die dat met zich meebrengt. Een voorbeeld waar elke vakgenoot een paar extra grijze haren van heeft gekregen is natuurlijk de privacywetgeving en de daarmee gepaard gaande (terechte) zorg om de veiligheid van persoonsgegevens.

Gevaar op de loer

Sinds de invoering van de AVG staat dit onderwerp bij veel ICT-verantwoordelijken op de radar en zijn er grote stappen gemaakt. Het gevaar is nu dat de aandacht een beetje verslapt, terwijl er juist een stap voorwaarts gemaakt moet worden en informatieveiligheid breder getrokken moet worden dan alleen de AVG. Doorvragen bij directie of management leert ons namelijk dat zij van jou verwachten dat je de zaken zo geregeld hebt, dat er geen gegevens op straat komen te liggen.

Informatieveiligheid is de verantwoordelijkheid van iedereen

Informatieveiligheid is een onderwerp dat de hele organisatie aangaat.  Het is belangrijk dat iedereen doordrongen is van zijn of haar eigen verantwoordelijkheid op dit vlak en snapt dat het niet een kwestie is van de verantwoordelijkheid naar jou doorschuiven. Door dat steeds weer onder de aandacht brengen help je de organisatie én jezelf.

Drie praktische handvatten om uit de startblokken te komen

1. 1. Begin bij het begin en zorg dat je de organisatie stap voor stap meeneemt. Doordat jij er al in verdiept hebt, heb je een kennisvoorsprong. Het is goed om je hier bewust van te zijn.

1. 1. Verdiep je samen met directie en het managementteam in de risico’s omtrent informatieveiligheid die er op de organisatie afkomen. Benoem deze risico’s concreet en probeer het uit het abstracte te halen.

1. 1. Categoriseer die risico’s op basis van impact en kans dat het voorkomt. Je kunt dit in beeld brengen met een kwadrant als deze:

Niet alles tegelijk

Op die manier heb je met elkaar de grootste risico’s vastgesteld en heb je een mooi uitgangspunt. Communiceer helder dat je aan de slag gaat met de punten uit het hoge impact/grote kans-vlak. De andere punten moeten dus even wachten; je kunt immers niet alles tegelijk. Spreek concreet met elkaar af wanneer je terugkoppeling geeft, zodat hierover geen misverstanden kunnen ontstaan en het voor directie en MT helder blijft welke risico’s jouw organisatie nog loopt.

Aan de slag

Nu kun je, samen met je ICT-partner, aan de slag om de risico’s nader te analyseren. Bepaal welke maatregelen er al zijn en welke nog genomen moeten worden. Controleer ook of de al genomen maatregelen (nog steeds) afdoende zijn en of ze in de praktijk ook werkelijk consequent uitgevoerd worden. Er komt dan nogal wat op je af. Je kunt het jezelf iets gemakkelijker maken door een ISO 27001 gecertificeerde ICT-partner te kiezen. Zonder die certificering kan het ook, maar dan moet je er rekening mee houden dat je zelf meer moet sturen. Een gecertificeerde partner is bekend met het doorlopen van deze stappen en beschikt over de juiste mindset.

Meer weten?

Toen de AVG eenmaal een feit was, hebben we bij Interpulse direct stappen ondernomen om onze ISO 27001- en NEN7510-certificering te halen. Wil je weten wat onze lessons learned zijn en de certificering concreet voor onze dienstverlening betekent? We leggen dit graag uit. Neem vrijblijvend contact op met mij op. Ik ben nieuwsgierig naar jouw uitdaging op dit gebied en hoe jouw organisatie hier tegenaan kijkt.

Extra tip!

Maak je gebruik van Office 365? Vraag mij dan naar ons whitepaper met 10 tips die je helpen Office 365 veilig in te richten!