Nieuws
Home > Actueel nieuws > Informatiebeveiliging en beleid – acht tips

Informatiebeveiliging en beleid – acht tips



17-08-2011

Informatiebeveiliging en beleid – acht tips in een blog
Jorrit van de Walle

Informatiebeveiliging is niet sexy. Klopt. Ook is het niet de belangrijkste zorg van managers en directie – tenzij er een incident is geweest. Informatiebeveiliging levert geen geld op. Klopt, in ieder geval geen direct geld. Maar zie het als een verzekering; je hoopt dat je deze nooit nodig hebt.. en als je informatiebeveiliging goed is inricht, dan kan het schade beperken!

Het begin van informatiebeveiliging is het beleid. Maar ook beleid is niet sexy en de combinatie met informatiebeveiliging is vaak een pijnlijke ervaring. Als er al beleid is, is het te dik en staat het ongelezen op een harde schijf of in de kast. En ongelezen beleid mist zijn doel volledig! Dan is het soms beter om geen beleid te hebben.

Daarom acht tips die ik heb ervaren in de praktijk om te zorgen dat beleid wél gelezen wordt en daarmee effectief wordt.
  1. Baseer het beleid op een bewezen model: de code voor informatiebeveiliging (ISO 27002) geeft een goed en praktisch handvat. Door dit te adopteren bespaart u zich veel werk, het wiel uitvinden is niet nodig. Daarnaast is het eenvoudig om kennis op te doen, cursussen te laten verzorgen en kan iedereen er kennis van nemen.
  2. Baseer het beleid op een risico-analyse. Deze analyse kunt u zelf doen of door een extern bedrijf laten verzorgen. Het grote voordeel is dat u niet lukraak maatregelen gaat treffen die niet nodig zijn, simpelweg omdat het risico niet aanwezig is. Het treffen van maatregelen kost tijd en geld (dus dubbel geld), en bij niet bestaande risico’s is dat dus dubbel zonde. Ook geeft een risico-analyse u de kans de focus op de echt belangrijke zaken te leggen.
  3. Maak het beleid niet te dik. In de praktijk kom ik beleid tegen op het gebied van informatiebeveiliging van meer dan 100 pagina’s. Dit beleid staat zonder uitzondering ongelezen in de kast. Dertig pagina’s is wat mij betreft het absolute maximum.
  4. Is een groter document (door complexiteit van organisatie) onoverkomelijk: splits het op. Laat het beleid langere termijn scope hebben (5 jaar), en laat een onderliggend plan een maximale scope hebben van 2 tot 3 jaar.
  5. Zorg voor een goede ‘kerstboom’ die verwijst naar processen en werkinstructies.
  6. Kijk goed naar de organisatie en naar de medewerkers – stem het beleid en de plannen af op de taken, belevingswereld en opleidingen.
  7. Implementeer het beleid en zorg voor goede communicatie – gooi het niet over de schutting. Investeer in bijvoorbeeld een cursus of een workshop. Dat dient meerdere doelen; niet alleen het bekend maken van de visie en doelen van de organisatie, maar ook awareness!
  8. Herzie het beleid regelmatig. Eén keer per jaar kort en één keer per twee jaar diepgaander. Neem dan meteen de risicoanalyse mee. Doe dit in een gecontroleerde cyclus van continue verbetering.

Meer weten? Zie ook Informatie Beveiliging benchmark