Informatiebeveiliging: verantwoordelijkheden en aansprakelijkheid. Ben jij in control?
Informatiebeveiliging een technisch ding dat bij IT ligt? Think again! Goede informatiebeveiliging is een wezenlijk onderdeel van de bedrijfscontinuïteit en er zijn wettelijke verplichtingen waaraan je moet voldoen. Is dat niet het geval, dan kun je als bedrijf (flink) op de vingers getikt worden. Waar liggen verantwoordelijkheden, hoe pak je dit onderwerp aan binnen je organisatie en hoe zorg je ervoor dat je écht in control bent?
Op een niet bijzondere dinsdagavond zapt Jos, directeur van een commercieel bedrijf, langs Nieuwsuur. Een item over een grote hack trekt zijn aandacht. Het gehackte bedrijf verloor niet alleen data, waardoor medewerkers hun werk niet meer konden doen, maar kampte tevens met reputatieschade en een boete omdat hun informatiebeveiliging ondermaats bleek. De vraag hoe de security van zijn organisatie geregeld is, hield Jos nog even wakker. De volgende dag ging hij met die vraag naar zijn IT-manager, René. “Volgens mij is dat wel in orde,” antwoordde René. “Hoe groot is de kans dat wij gehackt worden?”, reageerde Jos. In alle eerlijkheid antwoordde René: “Die kans is er altijd, maar die is vast niet groot. Als het gebeurt, dan bellen we onze IT-leverancier en lossen zij het op. We hebben immers alles uitbesteed en hebben een SLA.”
Waar ligt de eindverantwoordelijkheid?
Goed voor elkaar? Niet bepaald. Ook al heb je je IT uitbesteed en een ontzettend mooi dichtgetimmerde SLA, de organisatie blijft altijd eindverantwoordelijk voor de informatiebeveiliging. Door uit te besteden, hebben veel organisaties het gevoel ‘in control’ te zijn. Maar heb je het bewijs daarvoor, met een goed plan dat dit ondersteunt?
Bedrijfscontinuïteit borgen
Aandacht geven aan goede informatiebeveiliging doe je niet alleen omdat je er anders voor over de vingers getikt kunt worden. Het heeft namelijk een directe relatie met je bedrijfscontinuïteit, want wat gebeurt er als je informatie en informatiesystemen niet beschikbaar zijn voor gebruikers? Is er een plan bij een calamiteit, zoals een hack in de IT-infrastructuur? Maak dit onderdeel van je bedrijfscontinuïteitsplan.
Echt in control zijn over informatiebeveiliging (IB)
Heb je enigszins het idee dat er onduidelijkheden zijn met betrekking tot de informatiebeveiliging in je organisatie? Neem het heft in eigen handen en stel jezelf de volgende vragen:
- Heb ik een duidelijk overzicht in de huidige informatiebeveiligingsstatus?
- Zijn er de afgelopen tijd incidenten geweest en hoe heeft/hebben de verantwoordelijke afdeling(en) hierop gereageerd?
- Hebben we een disasterrecovery-plan en is deze getest? Heb ik de resultaten gezien?
- Hebben we budget gealloceerd voor IB of valt het onder de algemene IT-budgetten?
- Heb ik een business case gezien m.b.t. IB-investeringen? Waarom zijn deze goed- of afgekeurd?
- Hebben we IT uitbesteed en daardoor ook verantwoordelijkheden afgestoten?
- Wat willen we bereiken met informatiebeveiliging: hebben we een doel?
- Hebben we een informatiebeveiligingsvisie en -beleid opgesteld? En is dit een integraal onderdeel van het organisatiebeleid?
- Dienen we te voldoen aan bepaalde industrie-standaarden of wetgevingen?
- Willen we eigen intern beleid m.b.t. data, informatieverwerking en de fysieke toegang tot data?
- Is er iemand binnen de organisatie die een IB-doelstelling en -verantwoording heeft?
IB governance klinkt misschien als iets dat complex, tijdrovend en kostbaar is, maar het kan zeker pragmatisch aangepakt worden. Is het lastig bovenstaande vragen goed te beantwoorden en/of wil je weten hoe je tot een goed informatiebeveiligingsbeleid komt? Download dan het e-book ‘in vier stappen naar een goede informatiebeveiliging’!
Natuurlijk kun je hier ook even je gegevens achterlaten zodat we direct contact met je kunnen opnemen.
Meer weten?
Lees hier alles over:
-IT oplossingen voor de zakelijke markt
-IT oplossingen voor de zorg
-IT oplossingen voor corporaties
-IT oplossingen voor ontwikkelaars
Wil je direct contact opnemen? Je kunt ons bereiken via info@previder.nl, op 088 - 332 3333, of via onze contactpagina.