Directies vinden informatiebeveiliging best wel belangrijk, mits ze maar begrijpelijk gerapporteerd worden over de risico’s, zodat ze een prioriteitsstelling kunnen maken tussen al die aandachtsvelden die om aandacht schreeuwen. In dit artikel een beschrijving hoe zo’n rapportage opgezet kan worden.

Veel beveiligers en ICT’ers zien gebrek aan awareness als een belangrijk probleem bij security. Als je security isoleert en de focus legt op alleen dit probleem, dan is dat ook inderdaad het geval. Een beveiliger echter is geen wetgever, maar een dienstverlener die zorgt voor optimale informatiebeveiliging.

Bedrijven die informatiebeveiliging serieus nemen en maatregelen afgestemd willen hebben op hun beleidsuitgangspunten en hun risicoprofiel, kunnen ISO 27002 gebruiken om te komen tot een passend security management systeem, inclusief een natuurlijke verbetercyclus.

De ISO-normen voor informatiebeveiliging gaan op de schop. Voor u is waarschijnlijk de belangrijkste wijziging, dat de controls van ISO 27001 slechts ingevuld hoeven worden, als dit volgens uw risicoprofiel noodzakelijk is. Dat betekent, niet meer honderden maatregelen implementeren, geen papierwinkel meer en eindelijk wordt draagvlak vanzelfsprekend.

Net als internet destijds is de cloud nu een realiteit, onveilig misschien, maar een ontwikkeling waar je niet omheen kunt. De vraag is niet of het veilig is maar hoe je het veilig kunt maken.

Het probleem van de OV-chipkaart is niet de zwakke chip, maar de niet bepaald slimme manier waarop de beveiliging wordt benaderd. Waar het om gaat is de samenhang van beveiligingsmiddelen. Die moet ervoor zorgen dat ongewenste risico’s voldoende worden afgedekt.

Auditing heeft zich in de afgelopen jaren ontwikkeld van een controlerende naar een adviserende discipline, waarbij normatief denken steeds meer ingeruild wordt voor klantgericht denken. Het gaat niet meer om de goedkeuring van de auditor, maar om zijn toegevoegde waarde.

Directies zijn steeds vaker geneigd om bij bedrijfsrisico’s naar anderen of naar buiten te wijzen, terwijl ze toch zelf het risico hebben geaccepteerd. Of is er misschien toch onvoldoende bewustzijn voor de bedrijfscontinuïteit?

Een recessie is onontkoombaar en ICT-investeringen zullen natuurlijk weer het kind van de rekening worden. En terecht! Slechts dienstverleners die SaaS, BPO, managed services en outsourcing kunnen leveren zonder dat de klant hoeft te investeren, zullen overleven.

Als risicoanalyses informatiebeveiliging van gerenommeerde accountantsbureaus geen beeld meer geven van de werkelijke bedrijfsrisico’s, dan raak je als directie van een organisatie wel in een lastig parket. In dit artikel een aantal voorbeelden en een korte analyse van dit ‘misverstand’.