De tien meest kritische succesfactoren voor informatiebeveiliging

Wat is het geheim voor een optimale informatiebeveiliging? Het implementeren ervan is immers niet altijd even eenvoudig. Er liggen allerlei obstakels op de loer. Terugkijkend op de diverse trajecten waarbij ik vanuit mijn rol als adviseur in de laatste tien jaar betrokken was, tekent zich een aantal duidelijke succesfactoren af. Ik heb de tien meest kritische succesfactoren voor de implementatie van informatiebeveiliging op een rij gezet.

1. Beleid

Een van de belangrijkste pijlers van informatiebeveiliging is beleid. Het hoogste management moet het beleid formuleren, dragen en uitdragen naar de rest van de organisatie. Niet omdat het moet van derden, maar vanuit een oprechte motivatie. Ook dient de organisatie informatiebeveiliging te zien als een doorlopend proces en niet als een project. Een valkuil is het concentreren van de aandacht op enkel de IT-aspecten van informatiebeveiliging en/of op het vertrouwelijkheidaspect van digitale informatie. Het gaat echter om informatiebeveiliging in de meest brede zin van het woord.

2. Managementsteun

Steun van het (hoogste) management is onontbeerlijk bij de inrichting en de implementatie van informatiebeveiliging. Het vormt het fundament en uit zich in het (onder)steunen van beslissingen, het dragen en uitdragen van maatregelen, het beschikbaar stellen van (financiële) middelen, voorbeeldgedrag en het stimuleren van het beveiligingsbewustzijn.

3. Organisatie

Om informatiebeveiliging als proces te laten werken, moet de organisatie dat proces ondersteunen. Dat betekent dat de organisatie functies, rollen, taken en verantwoordelijkheden moet koppelen aan personen. Een belangrijke, coördinerende functie is die van (informatie) beveiligingsfunctionaris. Het heeft de voorkeur deze rol niet binnen de IT-afdeling te beleggen, maar op een algemeen, breder niveau.

4. Passende maatregelen

De maatregelen die getroffen worden, moeten passen bij de organisatie en afgestemd zijn op de risico’s die er zijn voor de bedrijfsvoering. Er zal dus een goed inzicht moeten zijn in de bedrijfsvoering, de diverse informatiestromen en de impact van dreigingen. Een adequate beveiliging van informatie is dan ook maatwerk.

5. Cultuur

Informatiebeveiliging is voor elke organisatie anders. Een voorwaarde voor een levensvatbare implementatie is dat de uitgangspunten en de wijze van implementatie passen bij de cultuur van de organisatie.

6. Kennis

Om aan de slag te gaan met informatiebeveiliging is kennis van het gehele landschap van informatiebeveiliging nodig. Denk aan aspecten als organisatie en procedures, technische en fysieke maatregelen, communicatie en bewustwording. Daarnaast is kennis van relevante wet- en regelgeving en ontwikkelingen in de branche belangrijk.

7. Budget

Zonder budget geen informatiebeveiliging en geen veilig huis. Al snel kun je veel bereiken tegen relatief lage financiële investeringen. Denk daarbij aan bewustwording en de aanscherping van procedures. Maar uiteindelijk vraagt informatiebeveiliging om tijd en middelen. Zorg dat het standaard terugkomt in de jaarbegroting; dan hoeft er niet jaarlijks een discussie over plaats te vinden.

8. Communicatie

Zowel tijdens de inventarisatie-, implementatie-, als operationele fase is communicatie erg belangrijk. Stem de boodschap af op de doelgroep en geef aandacht aan eventuele weerstand.

9. Awareness

Het bewust zijn van informatiebeveiliging is essentieel om het te laten ‘leven’. Tegelijkertijd is het een van de meest lastige aspecten om te bereiken en te behouden. Veiligheid moet een tweede natuur worden van medewerkers.

10. Evaluatie en onderhoud

Evalueer periodiek of het beleid en de huidige inrichting van het proces nog aansluiten op de behoefte van de organisatie. Zijn de uitgangspunten veranderd, stellen de organisatieonderdelen andere eisen, voldoet de organisatie nog aan de wet- en regelgeving en wat zijn de leerpunten naar de toekomst toe?

De top 10 is ook in animatievorm te bekijken. 

Gerard Stroeve is Manager Security & Continuity Services bij Centric