Nog meer druk op de begroting? Wie heeft daar ooit tijd en energie voor? Laten we die man achter dat bureau maar aanwijzen, mag die zich bezighouden met audits, beleid en stoffige werkbeschrijvingen. En dan hebben we het over een jaar later goed geregeld en de benodigde papierwinkel gereed. Fout! Heb je er zo een? Ontsla die man, begin opnieuw!
Stap 1: begin zo snel mogelijk met bewustzijn creëren
Voor informatiebeveiliging is het van belang dat iedereen meewerkt. Informatiebeveiliging betekent goede afspraken maken, nadenken over risico’s, en op tijd realiseren dat er iets mis kan gaan. Je wil dat iedereen zijn ogen open houdt, en actief meedenkt. Er is bijna niemand in je organisatie die niet op een of andere manier met informatie omgaat en weet wanneer dat fout kan gaan. Dit kan je niet aan 1 persoon overlaten; deze persoon zal altijd achter de feiten aanlopen.
Stap 2: begin vanaf het begin na te denken welke risico’s je loopt, en bedenk dan de maatregelen
Vaak zijn er al collega’s bezig om zaken dicht te timmeren uit het gevoel van vakmanschap. Maar je loopt sterk het risico dat je bepaalde zaken dan heel goed doet, terwijl je belangrijke risico’s onbenoemd laat. Probeer eerlijk te zijn over welke risico’s er spelen, en bepaal samen gepaste oplossingen. Niet teveel, niet te weinig. Passend. Wij deden dit tijdens het proces richting onze ISO 27001 certificering.
Stap 3: begin je project of initiatief altijd met beveiliging en privacy als uitgangspunt
De beste oplossing is om zo zorgvuldig mogelijk te werken. Als je goed vanaf het begin nadenkt kan je veel issues voorkomen. Bedenk welke functionaliteiten of informatie echt gevoelig zijn, en probeer vanuit dat punt te ontwerpen met dat in het achterhoofd. Dit kan veel hoofdbreken voorkomen, want je begint vanaf het begin al je proces rond deze gedachte vorm te geven.
Stap 4: benoem ook echt verantwoordelijken
Een te grote groep verantwoordelijk maken (“iedereen”) betekent dat niemand het is, een enkeling alle verantwoordelijkheid geven is ook vragen om moeilijkheden. Probeer mensen te vinden die zowel kennis als besef van het belang hebben, maar benoem vooral hun taak, en herinner ze er ook vaak genoeg aan. Zorg voor beweging in je organisatie, en hou die vast. Nu ben je klaar om informatiebeveiliging echt een boost te geven.
Uiteindelijk moet het zo zijn dat je je beveiliging onderdeel laat zijn van ieder initiatief. Probeer in je aanpak al vanaf het begin afspraken te maken, en begin met beveiliging en privacy als uitgangspunt. Natuurlijk heb je een Security Officer nodig, maar eerlijk; als je organisatie er niet klaar voor is, of bereid om hier bewust mee om te gaan, is deze functie vooral decoratief.