ICT-Security: Bewustwording
Mooi dat er in ieder geval een realisatie is dat er iets moet gebeuren. Maar dan houdt het bij veel organisaties wel op. Informatiebeveiliging is een onderdeel van een kwaliteitssysteem van het bedrijf, net als ITIL of ISO9001. Kwaliteit bewaken en verbeteren is een continu proces en dit wilt u georganiseerd en gestructureerd oppakken.De Security Officer
Vaak wordt meteen een werknemer aangewezen die hier voor verantwoordelijk is. De Security Officer! Het slachtoffer valt vaak direcht onder het ICT-management. Na het opstellen van een informatie-beveiligingsstuk volgens de ISO27001, afgetopt is met enkele security-procedures op maat kunnen we snel verder met ‘business as usual’.
Staffunctie
Als u een onafhankelijk en objectief beeld wilt hebben van hoe het echt met de ICT-beveiliging is gesteld, plaatst u een Security Officer niet onder een ICT-afdeling – om belangenverstrengeling te voorkomen. De Security Officer zou als staffunctionaris moeten rapporteren aan de directie.
Plan-Do-Check-Act
Het is leuk om een security-beleid en -procedures in een kast te hebben staan, maar het doel is betere uitvoering en monitoring van de ICT-security. Het hebben van procedures op werkinstructies is nog niet eens het halve werk. Dit soort security-projecten zijn altijd afhankelijk van andere business-processen, een goed security beleid is ingepast in het overall business beleid. Een geïntegreerde planning is van belang. Het uitvoeren van dit alles volgens de Deming cycle ‘PDCA’ (PLAN-DO-CHECK-ACT) is een must om de processen ‘in control’ te houden.
ICT-security is ieders verantwoordelijkheid
Het is makkelijk gezegd, maar ik realiseer me dat u dit niet zomaar invoert. Uiteindelijk moeten alle medewerkers ‘security’ als verantwoordelijkheid mee krijgen. Dit begint met Security Awareness door de hele organisatie. De Security Officer zal hierbij een rol als coördinator / organisator moeten innemen.