Hoe buigt u noodzakelijk kwaad om in uw voordeel?
Cybercriminaliteit is een groot probleem. Als bestuurder, directielid of manager draagt u een verantwoordelijkheid voor de veiligheid van de informatie die uw organisatie gebruikt en bewaart. Het garanderen van die veiligheid kost geld en levert ogenschijnlijk niet veel op.
Informatiebeveiliging is risico gedreven
ISO27001 is een van de meest gebruikte internationale richtlijnen voor organisaties om controle te krijgen over hun informatiebeveiliging. Het is mogelijk om als organisatie gecertificeerd te worden maar dat is geen doel op zich.
De reden om ISO27001 te gebruiken is de inrichting van een aantal processen waarmee u een continue verbetering van informatiebeveiliging kan bereiken. Het gaat erom dat u controle krijgt en houdt over alle informatiebeveiligingsrisico's. Dit varieert van technische activiteiten zoals penetratietesten tot human resource activiteiten, waarbij werknemers worden getraind om frauduleuze activiteiten van cybercriminelen te herkennen.
Risicobeheersing, een kostenpost?
Wat alle activiteiten m.b.t. ISO27001 gemeen hebben is dat ze gericht zijn op het minimaliseren van risico’s. De vraag lijkt: hoe ver u daarin moet gaan?
De term risico heeft voor veel mensen een negatieve betekenis omdat het lijkt te staan voor gevaar, problemen en kosten. U verdient er geen geld mee, het kost tijd en leidt af van de verkoop en operatie.
Maar goed georganiseerd risicomanagement stelt u ook in staat om kansen te pakken. De echte vraag is wat ons betreft: hoe goed kunt u risicomanagement en kansen voor de organisatie combineren?
Het managen van risico's gaat dus niet over het zien van problemen.
Het gaat ten eerste over het vinden van mogelijkheden om te verbeteren;
Het gaat ten tweede om het voorkomen van schade zodat het harde werk van de organisatie niet weer afgebroken wordt door hackers en andere cybercriminelen.
Informatiebeveiligingsrisico’s gaan in de kern over het opschonen van uw informatielandschap en het strakker organiseren van uw werkprocessen;
De oorzaak achter de gevolgen zoeken
Vaak komt de oorzaak van kwetsbaarheden en risico’s voort uit het feit dat de organisatie slecht gestructureerd is:
Werkdruk op de IT-afdeling leidt tot rommelige en niet goed uitgevoerde IT-processen. Dit leidt bijvoorbeeld tot achterlopen met security updates, gedeelde admin accounts of data dumps die op servers blijven staan;
Gewoontes en beperkte softwaremogelijkheden leidt tot veel informatie in slecht beveiligde Excel sheets. Toegang tot de sheets wordt niet beheerd, data wordt onbewust onveilig gedeeld en nooit meer verwijderd;
Door slecht (samen)werkende systemen worden afdelingen gedwongen om processen in overvolle algemene e-mailboxen te managen. Hier geldt hetzelfde voor als de Excel sheets. Beheer van toegang en data is moeilijk onder controle te houden.
De beperkte mate van structuur en orde maakt het dus moeilijk om een goede informatiebeveiliging voor elkaar te krijgen. Schoonmaken, opruimen en structureren zijn de sleutels tot succes.
Kwetsbaarheden ombuigen naar kansen
Het is vaak verleidelijk om een snelle oplossing te zoeken voor een gevonden risico. Een kortetermijnoplossing, een snelle fix of een andere mitigerende maatregel die de oorzaak niet echt wegneemt. Maar zo zijn veel risico’s eigenlijk ook ontstaan, door snelle oplossingen die nooit meer structureel goed opgepakt zijn. En daardoor is de organisatie wel minder efficiënt geworden en loopt bovendien grotere informatiebeveiligingsrisico’s.
De oorzaak wegnemen, opruimen, structureren en goed implementeren kost meer tijd maar levert ook meer op. Het zal u helpen om naast kwetsbaarheden op te lossen tegelijk organisatorische en procesfouten te identificeren en te verbeteren.
Daarom kan goed risicomanagement ook bijdragen aan het resultaat van uw organisatie. Niet alleen omdat u de kans op schade door incidenten verkleint, maar ook omdat een goed georganiseerde, goed gestructureerde en schone organisatie simpelweg op een efficiëntere manier hogere kwaliteit en resultaten levert.
‘Difficult roads lead to beautiful destinations’
Lees meer over ons ISMS groeiprogramma of stuur ons een e-mail: info@dvginfosec.com