De effectiefste en bovendien eenvoudigste manier om de informatiebeveiliging van organisaties te verhogen, is het verhogen van de betrokkenheid van de directie bij het informatiebeveiligingsbeleid. De directie of raad van bestuur bevindt zich als informatie-eigenaar namelijk in de beste positie om beveiligingsinvesteringen te kiezen die zijn afgestemd op het bedrijfsbeleid (bron).
Zo te lezen heb ik wederom een medestrijder gevonden om beveiliging beter op de kaart te zetten. Hij maakt een punt waar ik het volmondig mee eens ben. Ik predik dit zelf ook al jaren maar met hoe meer mensen we dit roepen hoe beter het is.
Vaak zien we onbegrip bij het management, er wordt niet de steun gegeven die we nodig hebben. Te vaak geven we het management hiervan de schuld, terwijl we ook eens in de spiegel moeten kijken. Beveiliging wordt vaak exotisch gehouden, we roepen allerlei technische risico’s en maatregelen en vinden het raar dat het management ons wat glazig aankijkt. Let op: zij spreken onze taal niet en dat moet ook niet van hen verwacht worden (ze hebben wel wat anders te doen). Nee wij moeten leren om hun taal te spreken. Wij moeten leren om te praten in business risks.
Een manager is niet geïnteresseerd in het nieuwste virus, hij is wel geïnteresseerd in de impact die het kan hebben op de bedrijfsprocessen of beter nog op de omzet.
Een manager is niet geïnteresseerd in de laatste algoritmes van de encryptie software, hij is wel geïnteresseerd in de impact die gestolen informatie kan hebben op het imago van de onderneming.
Een manager is niet geïnteresseerd in de sloten die we op de deur hebben gezet, hij is wel geïnteresseerd in de waarde van de goederen die gestolen kunnen worden bij een inbraak, en dan het liefst gewoon uitgedrukt in Euro’s.
Veel organisaties doen aan de verhoging van het beveiligingsbewustzijn van de medewerkers. Soms zie je goede programma’s, meestal zie je een postertje aan de wand die iedereen maar moet begrijpen. Niet alleen is er nog een wereld te winnen op het gebied van beveiligingsbewustzijn bij de medewerkers. Nee we moeten specifieke bewustzijnscampagnes richten op het management, in hun taal, kijkend naar hun scope waarbij we in gaan op de business risks.
Doen we dat op de juiste manier dan ontstaat er vanzelf een mate van bewustzijn bij dat topmanagement. We moeten stoppen met hen de schuld geven van het onbegrip en het ontbreken van steun. Het is onze taak om ze op de juiste wijze te bedienen, ze met de juiste woorden aan te spreken en het liefst de juiste management informatie systemen in te richten.
Het is niet makkelijk, dat heeft ook nooit iemand beweerd. Er is veel meer onder de zon dan de technische maatregelen op beveiligingsgebied. We hebben te maken met politiek en communicatie en dat zijn ingewikkelde aspecten.