Tag: voorbeeld

Overheid heeft te weinig kennis van beveiliging

  door

Hadden we het er gisteren nog over dat de overheid de boetes voor slechte beveiliging binnen bedrijven wil verhogen? Dan moeten ze eerst eens beginnen met het zelf goed organiseren van de beveiliging binnen die overheidsinstellingen.

De Nederlandse overheid heeft te weinig kennis van digitale beveiliging en geeft daarom slechte sturing. Dat concludeert de Onderzoeksraad voor de Veiligheid in een onderzoek dat gedaan werd naar aanleiding van de hack bij Diginotar…Ook is gekeken hoe beveiliging bij de overheid is geregeld. Daarom is ook gekeken naar beveiliging bij de Belastingdienst, de Sociale Verzekeringsbank en een aantal gemeenten. De Onderzoekraad concludeert dat bestuurders door gebrek aan kennis slechte sturing geven en dat de veiligheid bij de overheid fors verbeterd moet worden (bron).

Niets menselijks is de overheid dus vreemd. Wat wel vreemd is, is dat er gedreigd wordt met het opleggen van hoge boetes aan bedrijven die het slecht voor elkaar hebben terwijl ze de zaken zelf niet veel beter geregeld hebben.

De overheid moet hierin een voorbeeldfunctie vervullen. Zij moeten het beter voor elkaar hebben dan het gemiddelde bedrijf en zij moeten sturing geven aan de beveiliging binnen Nederlandse bedrijven. Natuurlijk zijn er best overheidsinstanties die zich hier mee bezig houden, maar blijkbaar krijgen die nog niet voldoende draagvlak om goed te adviseren. Ze hebben te weinig mandaat, te weinig mensen, te weinig kennis, te weinig budget of welke andere reden je dan ook kunt bedenken.

Wil de overheid de beveiliging echt op orde krijgen dan moeten ze vooraan lopen. Ze moeten aantonen hoe het dan wel beveiligd kan worden. Ze moeten de normen en kaders stellen. Ze moeten de vraagbaak zijn voor bedrijven die wel willen maar nog niet kunnen. Zolang dat niet gebeurd blijft het een lastig verhaal.

We kunnen dan hard roepen dat we de boetes verhogen maar ik zie liever dat we vanuit de overheid de organisaties helpen met duidelijke richtlijnen en kaders. Voor die bedrijven die het niet zelfstandig op kunnen pakken moeten we dan zorgen dat er hulp komt vanuit de overheid.

Ook hier geldt weer oorzaak en gevolg. We kunnen wel boetes opleggen maar ik zie liever dat we met zijn allen, in publiek-private samenwerking, proberen om allemaal veiliger te worden. Misschien een mooi onderwerp voor de aankomende verkiezingen? Of is dit toch niet sexy genoeg en te moeilijk uit te leggen aan “Henk en Ingrid”?

Steun en betrokkenheid van het management

  door

Gefeliciteerd, je hebt het einde van de quickscan gehaald…tenzij je natuurlijk je geduld niet op de proef wilde stellen en direct na de eerste stap de quicskscan op de site hebt ingevuld. Dan zal het je ook niet verbazen wat deze tiende en laatste vraag is. Het mag dan wel de (voorlopig) laatste vraag zijn, toch is het niet de minst belangrijke. Laten we er niet verder omheen draaien en aan de slag gaan.

De tiende vraag die we moeten stellen is:
Is er zichtbare steun en betrokkenheid van het (top)management voor integrale beveiliging en geeft het management het goede voorbeeld?

En het antwoord? Ja, nee of weten we het eigenlijk niet?

Als je, als verantwoordelijke voor de informatiebeveiliging, door het (top)management geconfronteerd wordt met de uitspraak: “prima beveiligingsmaatregelen, maar ze gelden natuurlijk niet voor mij.” Dan heb je een serieus probleem te pakken. Je zult de informatiebeveiliging dan ook nooit goed van de grond krijgen en loopt zelfs het risico dat je er door de frustratie aan onder door gaat.

Maar als je de tien stappen uit deze quickscan volledig doorlopen hebt en je het management mee hebt genomen in je zoektocht dan zou er toch al een vorm van steun en betrokkenheid moeten zijn ontstaan. Als je dus bij deze stap bent aangekomen en die steun is er nog niet dan moeten we teruggrijpen op de eerdere vragen. Daar zullen we de tien stappen dan ook maar mee afsluiten, vind je niet?

  1. Heb je het beveiligingsbeleid wel laten bekrachtigen door het (top)management en sluiten de doelstellingen van beveiliging wel aan bij de organisatiedoelstellingen?
  2. Is het (top)management ook beschreven in de organisatiebeschrijving en zijn aan hen ook taken, bevoegdheden en verantwoordelijkheden toegewezen?
  3. Worden de genomen beveiligingsmaatregelen wel periodiek en onafhankelijk beoordeeld en komen deze auditrapportages wel bij het (top)management aan?
  4. Heb je gebruik gemaakt van normen, best practices en richtlijnen uit de branch die logisch in elkaar zitten en goed aansluiten bij de beeldvorming van het (top)management?
  5. Is het risicomanagement framework goed opgezet en heeft het (top)management dat geaccordeerd?
  6. Heb je het beveiligingsbewustwordingsprogramma niet alleen gericht op de medewerkers maar heb je ook een speciaal programma voor het (top)management waarbij ze risicobewust gemaakt worden?
  7. Is inzichtelijk gemaakt welke risico’s de continuïteit van de organisatie kunnen bedreigen en heeft het (top)management de restrisico’s formeel geaccepteerd?
  8. Is er een overzicht opgesteld van kritische bedrijfsprocessen en gegevens en is het (top)management het wel met dit overzicht eens?
  9. Is het (top)management zich wel bewust van de mogelijke gevolgen van het niet voldoen aan wet- en regelgeving?

Heb je na de 10 stappen en na de 9 controlevragen nog steeds geen steun van het management? Dan is het wellicht de moeite waard om je positie binnen de organisatie nog eens tegen het licht aan te houden. Als er echt geen behoefte is, waarom is je functie er dan? Waarom zouden ze er dan wat aan doen? Maar, eerlijk is eerlijk, als we het op de juiste wijze aanpakken en reëel blijven dan is er geen (top)manager die willens en wetens niets aan informatiebeveiliging doet. Heb jij toevallig die ene manager die dat wel doet getroffen? Maak je geen zorgen, binnenkort staat hij in de krant en voor het groene bankje.

Zo zijn we aan het eind gekomen van een 10daagse reis, hopelijk kun je de inspanning waarderen en kun je een of meer van de stappen in de dagelijkse praktijk goed gebruiken. Uiteraard ben ik reuze benieuwd naar je reactie op de tien stappen en hoor ik graag van je.

Oh ja, voor de laatste keer en voor het geval je de eerdere stappen toch liever overzichtlijk bij elkaar hebt, je kunt de quickscan nog steeds zelf doorlopen door hier te klikken of door me snel uit te nodigen voor die bak koffie. Uiteraard is deze scan ook beschikbaar voor mensen die mijn blog de afgelopen 10 dagen niet gevolgd hebben.