Grip op informatiebeveiliging

Wanneer de veiligheid van informatie een cruciaal aspect vormt binnen je bedrijfsvoering, wil je erop kunnen vertrouwen dat het goed zit. Je wilt grip hebben op de beveiliging van informatie en het als proces kunnen monitoren en bijsturen. Dat gaat niet lukken als je informatiebeveiliging als een soort PUR-schuim beschouwt en denkt dat je gaten achteraf kunt dichten. Informatiebeveiliging zul je mee moeten nemen bij het ontwikkelen van bedrijfsprocessen, het applicatielandschap en je IT-infrastructuur. Dit noemen we security by design.

Borging van informatiebeveiliging

Security by design gaat echt niet alleen over mobiele apps of informatiesystemen. De hele organisatie wordt er in meer of mindere mate door geraakt. Voor bestaande organisaties betekent het invoeren van security by design dat er veranderingen nodig zijn. Dit blijft niet beperkt tot de IT-afdeling. In de hele organisatie heeft het invoeren van informatiebeveiliging als proces een impact op verantwoordelijkheden, richtlijnen, processen en procedures. Medewerkers moeten leren denken in risico’s, hun eigen processen herinrichten, bijdragen aan monitoring en zorgen voor continue verbetering. Een dergelijke vraag kan leiden tot weerstand, zeker als de directe meerwaarde onvoldoende duidelijk is. Veelal mislukken of vertragen implementatietrajecten doordat deze weerstand wordt onderschat.

Het daadwerkelijk borgen van informatiebeveiliging in een organisatie betekent dus nogal wat. In de meeste gevallen is dit geen rechttoe rechtaan project dat eventjes wordt uitgevoerd. Doordat de invoering een groot deel van de organisatie raakt, spelen ook vele belanghebbenden een rol. Een dergelijk traject vraagt dus – naast uitvoerige kennis van informatiebeveiliging – om expertise op het vlak van samenwerking, risicomanagement, veranderkunde en project- en programmamanagement.

Het begeleiden van dit soort complexe implementatietrajecten is onze specialiteit. We helpen bij het vormgeven van het idee, de eerste inventarisaties, het ontwikkelen van het plan, het opzetten van het team en de uitvoering van het project (of programma). Daarbij zorgen we voor de inhoudelijke expertise, maar adviseren we ook over interventies voor het vergroten van het draagvlak en verminderen van de weerstand. Dat kunnen we enerzijds omdat we er al jaren in geoefend zijn en anderzijds door onze kennis van achterliggende modellen. Onderstaand zijn enkele pijlers onder onze aanpak verder uitgewerkt.

Samenwerken: het fundament

Informatiebeveiliging is net als kwaliteit: het raakt alle afdelingen en iedereen heeft er in meer of mindere mate mee te maken. Natuurlijk zijn er een aantal belangrijke rollen in te vullen, maar die kunnen niet zonder de rest van de organisatie. Daarom is samenwerken rondom informatiebeveiliging zo belangrijk!

Surity helpt organisaties bij het vormgeven van die samenwerking en het bij elkaar brengen van de belanghebbenden. Daarmee creëren we een breed draagvlak voor de benodigde verandering. Die betrokkenheid leidt enerzijds tot de juiste input van de werkvloer en anderzijds tot minder weerstand bij implementatie.

Risicomanagement: prioriteiten stellen

Informatiebeveiliging is risicogebaseerd en maatregelen neem je om risico’s te beperken. Daarvoor moet je weten welke risico’s je loopt en in hoeverre je de risico’s accepteert. Risicomanagement klinkt als een complex instrument: leuk voor banken en chemische industrie, maar niet voor ons. Toch kunnen andere sectoren veel nut hebben van risicodenken. Alleen moet het wel in de juiste context geplaatst worden.

Surity adviseert organisaties bij het inrichten van risicomanagement rondom informatiebeveiliging. Daarbij houden we rekening met de cultuur van de organisatie en de specifieke doelen, actoren, technische omgeving en dreigingen.

Veranderkunde: analyse, strategie en communicatie

In het algemeen willen mensen wel veranderen, maar liever niet veranderd worden. Daar zit direct ook de uitdaging voor informatiebeveiliging, want weinig mensen raken enthousiast van onderwerpen als privacy en informatiebeveiliging. Om toch zoveel mogelijk impact te realiseren, is een doordachte veranderaanpak nodig. Soms streng, soms pragmatisch, maar altijd met het doel om de organisatie in het geheel veiliger te maken.

Surity ondersteunt organisaties bij het bepalen van de veranderstrategie, het bedenken van de juiste interventies en de uitvoering daarvan.

Project- en programmamanagement: het realiseren

In veel organisaties is er nog een groot verschil tussen de huidige situatie en de gewenste situatie. Zo’n verschil overbrug je niet zomaar en dit vraagt om een doelgerichte, projectmatige aanpak. Het maken van plannen, het organiseren van activiteiten en het monitoren van de voortgang vormen hierbij een belangrijk aspect.

Surity is als geen ander in staat de noodzakelijke veranderingen op het vlak van informatiebeveiliging te duiden, logische werkpakketten uit te werken en prioriteiten te stellen. Daarnaast kunnen projectleiders van Surity meehelpen in de uitvoering en zorgen voor voortgang in de realisatie.

Hoe ziet een traject met ons eruit?

Op basis van bovenstaande pijlers richten we een traject op maat in. De combinatie van ‘zachte’ elementen als samenwerken en veranderkunde met de ‘harde’ elementen risicomanagement en projectmatig werken zorgt vervolgens voor draagvlak voor doelgerichte verandering. Daarmee realiseren we samen met de opdrachtgever op een effectieve en efficiënte manier een resultaat dat ook op de langere termijn garant staat voor een goede informatiebeveiliging. Doel van een dergelijk traject is vaak een certificering (ISO 27001 of NEN 7510), waarbij we dus ook de vereiste onderdelen meenemen.

Binnen het traject integreren we enkele van onze standaard diensten, zoals risicomanagement, awareness-diensten en technische scans. Deze sluiten goed aan op de overkoepelende aanpak en visie op implementeren van informatiebeveiliging.

Voor meer informatie over de mogelijkheden die Surity biedt of een goed gesprek over het verbeteren van informatiebeveiliging binnen uw organisatie: neem contact met ons op!

 

Zit je met een andere uitdaging op het vlak van informatiebeveiliging of privacy? Laat ons helpen en stel je vraag in het formulier.

Dank voor je vraag!

We hebben je vraag ontvangen en gaan ermee aan de slag. Binnen één werkdag sturen we je een reactie.

Neem contact met mij op.

Laat hieronder uw naam en nummer achter en wij nemen contact met u op.

Dank je!

Blijf op de hoogte

Schrijf je in voor onze nieuwsbrief!