Wij zijn veilig, want we hebben een Security Officer

JvdS
12 oktober 2015

Admin

Bedrijven realiseren zich wel dat ze iets aan informatiebeveiliging moeten doen.


De Security Officer

Dus wordt een werknemer aangewezen die hier voor verantwoordelijk is. De Security Officer! Met een beetje geluk is het slachtoffer een medewerker van de ICT-afdeling. “Ze doen daar toch iets met informatie en computers.” Hij of zij valt onder het ICT-management. Na het opstellen van een informatiebeveiligingsstuk volgens de ISO27001 / ISO27002, dat afgetopt is met enkele security-procedures, kunnen we verder met ‘business as usual’.

ICT-Security: Bewustwording

Mooi dat er in ieder geval een realisatie is dat er iets moet gebeuren. Maar ……., dan houdt het wel op. Informatiebeveiliging is een onderdeel van een kwaliteitssysteem van het bedrijf. Net als het gebruik van ITIL of ISO9001. Dit is een continue proces en dit wilt u georganiseerd en gestructureerd oppakken, zodoende kunt u de zaken efficiënt en effectief kan regelen.


Integratie in processen

Wat meestal wordt vergeten, is de integratie in de business-processen. Als u een onafhankelijk en objectief beeld wilt hebben van hoe het echt met de ICT-beveiliging is gesteld, plaatst u een Security Officer niet onder een ICT-afdeling – om belangenverstrengeling te voorkomen.

Plan Do Check Act

Het is leuk om een security-beleid en -procedures in een kast te hebben, maar het gaat om de uitvoering en monitoring van de ICT-security. Het papier zou alleen nodig moeten zijn als er een discussie is over de bedoeling erachter en de uitvoering van security-maatregelen. Het hebben van procedures op werkinstructies is nog niet eens het halve werk. Vervolgens zijn er altijd wel zaken die moeten worden ingevoerd of verbeterd. Dit soort security-projecten zijn altijd afhankelijk van andere business-processen. Een geïntegreerde planning is dan wel van belang. Het uitvoeren van alles volgens de Deming cycle ‘PDCA’ (PLAN DO CHECK ACT) is een bijna must om de processen ‘in control’ te houden.

ICT-security is ieders verantwoordelijkheid

Het is makkelijk gezegd, maar ik realiseer me dat u dit niet zomaar invoert. Uiteindelijk moeten alle medewerkers ‘security’ als verantwoordelijkheid mee krijgen. Dit begint met Security Awareness. De Security Officer zal hierbij een rol als coördinator / organisator moeten innemen.

Advies nodig?

Glasswall kan hierbij adviseren en assisteren, want security kan ook leuk zijn.


Lees meer artikelen van Glasswall