Beveiligingsbeleid en doelstellingen

De komende 10 (werk)dagen gaan we het anders doen, we gaan nu eens niet in op recent nieuws maar we doorlopen stapsgewijs de vragen uit de quickscan die ingaan op informatiebeveiliging met daarbij steeds een korte toelichting. Aan de hand van deze 10 vragen is eenvoudig te bepalen of we extra aandacht aan informatiebeveiliging moeten besteden.

En voor de oplettende lezer, ja ik weet dat het vandaag pasen is en dat dit geen officiële werkdag is, maar beschouw de komende 10 blogs dan maar als paaskado van mij aan jou, en wat is er dan mooier om op tweede paasdag te beginnen met het uitpakken van je kado?

De eerste vraag die we moeten stellen is:
Is er een actueel integraal beveiligingsbeleid en zijn de doelstellingen die de organisatie heeft met integrale beveiliging vastgelegd?

En het antwoord? Ja, nee of weten we het eigenlijk niet?

Geloof het of niet, maar beveiliging begint toch echt met het opstellen van een beveiligingsbeleid en het afleiden van de beveiligingsdoelstellingen van de algemene doelstellingen van de organisatie. Beleid klinkt natuurlijk al heel snel als een dik pak papier dat in de kast staat te verstoffen en waar niemand naar om kijkt. Ja, helaas is dat inderdaad vaak het geval, maar het kan ook anders, echt, geloof me. Het opstellen van een beveiligingsbeleid hoeft niet saai te zijn, is het dat wel dan doe je dat helaas toch echt helemaal zelf.

De kunst is om de inrichting van je beveiliging aan te laten sluiten bij de missie, strategie en doelstellingen van de organisatie. Dat vraagt denkwerk en is een hele uitdaging. Dus niet, ik herhaal: dus niet, het overschrijven van de Code voor Informatiebeveiliging, maar juist de vertaalslag maken naar de specifieke eigenschappen van de organisatie.

Het overschrijven van de Code voor Informatiebeveiliging is een gemakkelijke opgave, het schrijven van een goed en gedragen informatiebeveiligingsbeleid is al een stuk lastiger. Waarom? Nou simpelweg omdat we dus aansluiting moeten vinden bij de aard van de organisatie…en dat is makkelijker gezegd dan gedaan.

Zoals beloofd ga ik de blogs kort houden. Er is nog zoveel meer over te vertellen, maar dat doe ik graag onder het genot van een bak koffie. Wil je meer weten? Dan hoor ik dat wel. Hop, morgen op naar vraag 2.

Oh ja, voor diegene onder jullie die echt niet 10 dagen willen wachten voordat hun paaskado is uitgepakt, je kunt de quickscan zelf ook al doorlopen door hier te klikken of door me snel uit te nodigen voor die bak koffie.