Organisatievraagstuk

Cybersecurity is onlosmakelijk verbonden met informatieveiligheid en informatiebeveiliging. Beide onderwerpen zouden vandaag de dag in elke organisatie beleidsmatig moeten worden aangepakt. Immers als er incidenten plaatsvinden, staat de reputatie van een organisatie op het spel. We leggen steeds meer informatie digitaal vast en we communiceren bijna alleen nog maar digitaal met consumenten en bedrijven. Een bestuurder van een organisatie is eindverantwoordelijk voor de informatiebeveiliging en de informatieveiligheid van al deze informatie . 

De digitalisering van onze samenleving vraagt om een gedegen informatiebeveiligingsbeleid. Het is een essentieel onderdeel voor een betrouwbare dienstverlening aan consumenten en bedrijven. Het beleid draagt er aan bij dat informatieveiligheid en informatiebeveiliging in de organisatie verankerd is. De bestuurder dient erop toe te zien dat het beleid wordt nageleefd. In veel organisaties is dit beleid al op de rit gezet, maar daarmee zijn we er nog lang niet. In de praktijk hoor, lees en zie ik echter dat bestuurders de verantwoordelijkheid voor informatiebeveiliging veelal bij de IT-afdeling neerleggen. Is dat terecht?

In mijn beleving niet. Informatiebeveiliging en informatiebeveiliging en informatieveiligheid is meer dan alleen ICT, computers en automatisering. Het gaat om alle uitingsvormen van informatie (analoog, digitaal, tekst, video, geluid, geheugen, kennis), alle mogelijke informatiedragers (papier, elektronisch, foto, film, CD, DVD, et cetera) en alle informatieverwerkende systemen (de programmatuur, systeemprogrammatuur, databases, hardware, bijbehorende bedrijfsmiddelen), maar vooral ook mensen en processen. 

De meeste incidenten ontstaan niet door gebrekkige techniek, zo blijkt uit onderzoek. Incidenten zijn over het algemeen te wijten aan ons eigen (onbewuste) handelen. Denk bijvoorbeeld aan incidenten die ontstaan door risico’s die we nemen met het mobiele werken, het mailen van privacygevoelige informatie naar je eigen privéadres of het onzorgvuldig omgaan met wachtwoorden (de welbekende geeltjes die op onze computer geplakt zitten). En zo kan ik nog talloze andere voorbeelden noemen. 

Deze ‘cyberwareness’ is ook onderdeel van het informatiebeveiligingsbeleid. Naast de CISO heeft het gehele management van een organisatie hierin een belangrijke rol en verantwoordelijkheid. Het management dient een duidelijke richting te geven aan informatiebeveiliging en zou moeten laten zien dat zij informatiebeveiliging ondersteunen en zich hierbij betrokken voelen. Hoe is dat in jouw organisatie geregeld?


Terug naar overzicht

Website door BlueBird Media