Beleid rond beveiliging is niet iets wat je één keer inricht en vervolgens loslaat. Sommige organisaties ontdekken dit in de vorm van ‘harde lessen’. Zo hebben we onlangs een school geholpen om de ICT-beveiliging aan te scherpen, toen bleek dat leerlingen cijfers konden aanpassen. Een direct gevolg van de nieuwe manier waarop de leerlingen werken: online. Binnen het netwerk van de school. De beveiliging was daarop nog niet aangepast, waardoor de ‘deur’ als het ware openstond.

Algemene verordening gegevensbescherming (AVG)

Het veilig opslaan, en wel of geen toegang geven tot gevoelige (bedrijfs)informatie is een discipline waar bedrijven veel tijd en aandacht aan besteden. Denk bijvoorbeeld aan de nieuwe wetgeving rondom persoonsinformatie (AVG/GDPR). Dit vraagt om nieuwe procedures en richtlijnen. Maar dit vraagt ook om veel technische maatregelen. Dan is het goed om voor ogen te blijven houden dat informatiebeveiliging veel verder gaat dan techniek. Je kunt netwerken beveiligen met de duurste en meest uitgebreide technische faciliteiten, maar als werknemers niet goed begrijpen wat er van hen verwacht wordt, zijn al deze maatregelen nutteloos.

Risico’s beperken is een continu proces

Beveiliging draait om risicobeperking. En dat is een continu proces. Het is belangrijk om vast te stellen wat de risico’s zijn en hoe je hier nu én in de toekomst mee omgaat. Vraag je eerst af waar je als organisatie staat. Ben je een ‘bank’ of ben je een ‘bakker’? Het spreekt voor zich dat het eerste type bedrijf veel grotere risico’s loopt en dus veel meer moet investeren in veiligheid. En dat begint bij beleid. Zonder dat je daarbij in een bekende valkuil stapt, waarbij er meer aandacht is voor het ‘hoe’ in plaats van voor het ‘wat’.

Om dat ‘hoe’ en ‘wat’ duidelijk te maken, geven we vaak de vergelijking van de kast. Als je niet wilt dat bepaalde mensen bij de inhoud van een kast kunnen, dan zorg je voor een goed slot op de deur van de ruimte waar de kast staat. Maar als je de kast naar een andere plek verhuist, dan heeft het slot op de deur geen enkele zin meer. Hoe veilig je dit slot ook maakt.

Onlangs nog zagen we een werknemer een complete Excellijst met alle klantinformatie mailen naar een collega. Niet slim, niet compliant en heel erg schadelijk als die medewerker per ongeluk een verkeerd e-mailadres van iemand buiten de organisatie had gekozen. Een duidelijk voorbeeld van praktische handelingen waarbij de techniek wellicht goed is ingericht, maar de procedures in de praktijk niet werken. We zien dit terug in wachtwoordbeleid en algemeen beleid rondom beveiliging. Dit soort situaties zorgen voor risico’s waardoor gevoelige informatie buiten de organisatie belandt, of het netwerk gevoelig wordt voor:

  • hackers
  • virussen
  • malware

Meer lezen over het belang van ICT-beleid?

Wil je meer lezen over het belang van beleid met betrekking tot ICT? Download ons e-book ‘ICT-beleid, wat levert het op?‘ waarin we dieper ingaan op thema’s waar je rekening mee moet houden.

Deel dit met anderen