Afgelopen maand heb ik de opleiding process & information management af mogen ronden met een verdieping in informatiebeveiliging. Een onderdeel van de verdieping in informatiebeveiliging was onderzoek doen naar het al dan niet succesvol borgen van het informatiebeveiligingsbeleid binnen organisaties. Het op te leveren product diende een adviesrapport te zijn welke mogelijke oplossingen presenteert. Ik heb mij hierbij met name gericht op de organisatorische set van maatregelen van het informatiebeveiligingsbeleid en ervaren dat de technologische ontwikkelingen enerzijds kansen voor organisaties opleveren maar anderzijds ook nieuwe risico’s omtrent informatiebeveiliging met zich meebrengt of zelfs verder vergroot.
Ondanks dat de meeste organisaties inmiddels een beleid voeren op het gebied van informatiebeveiliging en een dergelijke bijbehorende functie belegd hebben, verschijnen er steeds meer berichten dat er tóch datalekken of andere dreigingen werkelijkheid worden. In de meeste gevallen is de oorzaak van de betreffende cyberaanvallen te relateren aan (on)opzettelijk menselijk handelen. Denk hierbij bijvoorbeeld aan het datalek bij de GGD wat onlangs aan het licht kwam. Eventuele gevolgen van kwetsbaarheden zijn dus vaker te wijten aan het menselijk handelen binnen een organisatie dan aan systeemtechnische oorzaken. Hoe kan dit gebeuren? Interessanter, hoe kan dit probleem opgelost worden?
Ik heb ingezoomd op de organisatorische set van maatregelen om een antwoord op deze vragen te kunnen formuleren. Onder de organisatorische set van maatregelen van informatiebeveiligingsbeleid vallen vaak de processen, procedures, organisatorische structuur en de inbedding van de maatregelen in de organisatie. Met name laatstgenoemde is in dit geval interessant. Ik merkte namelijk dat er een kloof zit tussen enerzijds het voeren van informatiebeveiligingsbeleid en het ook daadwerkelijk ten uitvoer kunnen brengen door de medewerkers. Het komt vaak voor dat medewerkers de genomen maatregelen niet begrijpen of zich niet bewust zijn van de gevolgen van bestaande risico’s. Vaak is het voor een medewerker ook niet duidelijk hoe hij/zij correct dient te handelen na bijvoorbeeld een constatering van een dreiging of cyberaanval zoals een phising-mail. Kan iedere medewerker deze aanvallen überhaupt herkennen? Is de nut en noodzaak van informatiebeveiliging bekend bij medewerkers en de grote rol die zij hier in vertegenwoordigen?
In het adviesrapport dat ik heb geschreven om mijn opleiding af te ronden geef ik mogelijke oplossingen voor het probleem betreffende het niet (naar wens) kunnen borgen van de organisatorische maatregelen van het informatiebeveiligingsbeleid in een organisatie. Heb je interesse om over dit probleem, de vragen of de mogelijke oplossingen eens te sparren? Neem dan contact met mij op via annelotte.heutz@kbenp.nl of 06 11 86 68 73. Wil je meer weten wat betreft de mogelijke oplossingen in het uiteindelijke adviesrapport? Vraag deze dan op via onderstaand formulier.
