Gisteren hebben we vriendschap gesloten met onze auditafdeling. Eigenlijk zijn het helemaal niet van die nare (of rare) mensen, toch? Nee, eigenlijk hebben zij ook wel het beste voor met de organisatie. Aan deze vernieuwde samenwerking gaan we nog veel plezier beleven. Maar we nemen uiteraard wel onze eigen verantwoordelijkheid en proberen de informatiebeveiliging eerst zo goed mogelijk zelf in te richten. Daarmee zijn we aangekomen bij vraag 4.
De vierde vraag die we moeten stellen is:
Is bij de inrichting van de integrale beveiliging gebruik gemaakt van normen, best practices en richtlijnen uit de branche?
En het antwoord? Ja, nee of weten we het eigenlijk niet?
Inmiddels weten we dat we informatiebeveiliging serieus moeten nemen, maar waar moeten we beginnen? Geen nood, er zijn genoeg hulpmiddelen beschikbaar om de eerste paar stappen goed te zetten. Maar, voordat je je verstapt, wil ik je er nog wel even op wijzen dat het niet zozeer gaat om de beveiligingsmaatregel maar juist om het afdekken van een risico. Houden we dat voor ogen dan gaan we niet domweg allerlei standaard normenkaders implementeren (die een overkill aan maatregelen veroorzaken).
Nee, uitgaande van de risico’s, die per organisatie, per business unit, per locatie, per proces, per land, per gebouw en ga zo nog maar even door kunnen verschillen. Nu kunnen we allerlei normen, best practices en richtlijnen gebruiken om de meest effectieve en efficiënte wijze van beveiligen te bepalen.
De bekendste norm is waarschijnlijk de Code voor Informatiebeveiliging (ISO27001/27002 of voor de gezondheidszorg: NEN7510). Een uitstekende basis, zou ik zo zeggen, maar er is meer. Google er eens lustig op los en je zult zien dat er al veel, heel veel, geschreven is over informatiebeveiliging. Kijk bijvoorbeeld ook eens wat er beschikbaar is vanuit National Institute of Standards and Technology (NIST) en Federal Information Processing Standards (FIPS). Wat houd je tegen om dat her te gebruiken? Is het niet beter goed gejat dan slecht verzonnen?
Verder zijn er vast ook nog wel richtlijnen uit de branche die we kunnen hergebruiken. Beveiliging heeft misschien vele nadelen, maar een groot voordeel is er ook. Veel organisaties zien het (nog) niet als onderscheidend vermogen ten opzichte van de concurrentie. Benchmarken in de branch is daarom vaak niet zo’n probleem. Waar je normaliter zwaar concurreert kan het zomaar zo zijn dat de Security Manager van je concurrent graag met je samen werkt. Waarom? Nou, simpelweg omdat hij of zij met dezelfde problemen in de maag zit.
Zo, de concurrentie is ook geen probleem meer en we weten nu dat we via internet en allerlei beschikbare normeringen al een aardig stuk op weg zijn. Nu moeten we er alleen nog voor oppassen dat we het vakgebied straks niet echt leuk gaan vinden want dan is het hek van de dam. Maar goed, we zijn weer een stap verder en kunnen met een gerust hart op weg naar vraag 5.
Nogmaals, voor diegene onder jullie die echt niet 10 dagen willen wachten, je kunt de quickscan zelf ook al doorlopen door hier te klikken of door me snel uit te nodigen voor die bak koffie.