Waar ligt het eigenaarschap van risico’s en maatregelen bij informatiebeveiliging?

Informatiebeveiliging is van iedereen! De meeste mensen die ooit toehoorder zijn geweest van een presentatie over dit onderwerp hebben bovenstaande uitspraak wel eens gehoord. Het is een ware uitspraak, maar wel een die in de praktijk voor velen wat cryptisch blijft.

Want, informatiebeveiliging is van iedereen: maar welk stukje is dan van mij? Dat is voor veel mensen niet helemaal duidelijk. En dat is jammer, want dit zorgt ervoor dat er kansen gemist worden, terwijl de goede wil er wel is. Vaak hoor ik nog: ‘ik heb geen verstand van computers/firewalls/techniek’. Ik zou zeggen, maak je niet druk, dat wordt niet van je gevraagd.

Als ik iemand uitleg welke rol hij of zij heeft bij informatiebeveiliging, maak ik graag gebruik van het volgende plaatje.

risico’s en maatregelen bij informatiebeveiliging

Organisatieniveau

Op organisatieniveau is voor de gemiddelde medewerker eigenlijk al heel veel geregeld. Centrale afdelingen zoals ICT en Facilitair hebben de rol om voor iedereen standaardzaken zoals toegang tot netwerken, informatiesystemen en gebouwen te regelen. Zodra men weet wat de afspraken zijn, kan er op vertrouwd worden dat er veilig gewerkt kan worden. HR vraagt een VOG van medewerkers en de inkoopprocessen zorgen ervoor dat eisen rond informatieveiligheid geborgd zijn bij aanschaf van nieuwe bedrijfsmiddelen. Dit ‘stukje’ is dus voor iedereen, maar niet van iedereen! Het eigenaarschap van risico’s en beheersmaatregelen ligt vaak bij centrale afdelingen.

Medewerkersniveau

Op medewerkersniveau is het evident dat informatiebeveiliging een persoonlijke kwestie is. Bewustzijn rond het onderwerp en kennis van de do’s en don’ts (niet op dat linkje klikken!) is hier belangrijk. Verantwoordelijkheid en eigenaarschap van dit ‘stukje’ is zeker van iedereen, maar dat is zo langzamerhand een open deur. Hier ligt vaak ook de vraag en de onduidelijkheid niet.

Afdeling/ team

Waar het voor velen vaag wordt is op het niveau van het team of de afdeling. Vaak ontbreken inzicht in relevante risico’s en het handelingsperspectief dat men heeft. Op welke risico’s hebben ik en mijn collega’s eigenlijk invloed? Waar kunnen we met elkaar wat aan doen? Zoals de figuur aangeeft, hebben juist teams of afdelingen een grote invloed hebben op de vertrouwelijkheid en integriteit van gegevens. Simpelweg door de manier waarop deze gebruikt worden in de bedrijfsprocessen.

De risico’s rond de bedrijfsprocessen

Door te beseffen dat er al veel geregeld is en dat er een individuele verantwoordelijk is voor veilig gedrag, komt er vanzelf focus op de het missende stukje van de puzzel: de risico’s rond de bedrijfsprocessen. Daar moet de discussie over gaan en die discussie staat redelijk los van de harde ICT. Wat hierbij nodig is, is een goed inzicht in hoe in de dagelijkse praktijk met gegevens omgegaan wordt. Aangezien we allemaal een rol hebben in onze bedrijfsprocessen, is nu juist dit ‘stukje’ informatiebeveiliging van jou, van mij, van ons allemaal. Aan de slag!

Wil je meer weten over de risico’s en maatregelen bij informatiebeveiliging? Neem dan contact op met Monica de Wit.