Directies vinden informatiebeveiliging best wel belangrijk, mits ze maar begrijpelijk gerapporteerd worden over de risico’s, zodat ze een prioriteitsstelling kunnen maken tussen al die aandachtsvelden die om aandacht schreeuwen. In dit artikel een beschrijving hoe zo’n rapportage opgezet kan worden.

U mag optreden als projectleider voor een intern project. Natuurlijk heeft u verstand van de materie en u heeft ook wel vaker een coördinerende rol vervuld. U heeft echter eigenlijk geen idee wat er nu van u verwacht wordt.

Veel beveiligers en ICT’ers zien gebrek aan awareness als een belangrijk probleem bij security. Als je security isoleert en de focus legt op alleen dit probleem, dan is dat ook inderdaad het geval. Een beveiliger echter is geen wetgever, maar een dienstverlener die zorgt voor optimale informatiebeveiliging.

Vaak wordt de NEN 7510 norm opgevat als een absolute norm, die verplicht tot het invoeren van meer dan 100 maatregelen. De beschreven maatregelen zijn echter best practices op basis waarvan iedere zorginstelling zelf de eigen norm kan vaststellen. Er is dus niet sprake van een verplichting, maar het gaat om een keuze, waardoor awareness vaak geen issue meer is en er een pragmatische invoering mogelijk wordt. Niet de norm, de auditor of de informatiebeveiliger bepaalt, maar het management, zelfs al wordt de norm opgelegd.

Jarenlang wordt al gesproken van een tweedeling in de samenleving op grond van ICT, geld en macht. Het lijkt erop dat de tweedeling op het gebied van communicatie wel eens bepalend zou kunnen worden. Web 2.0 heeft niets te maken met techniek, maar wel met een virtuele manier van social netwerken. Kunt u nog mee of houdt u maar liever vast aan uw vertrouwde wereldje?

‘De klant staat centraal’ is vaak het credo van bedrijven. Ze geven er echter het liefst zo weinig mogelijk aan uit. Recent onderzoek laat zien dat 60% van de Nederlandse bedrijven bij de afhandeling van hun klantcontact nog altijd primair stuurt op gesprekstijd en efficiency.

De ISO-normen voor informatiebeveiliging gaan op de schop. Voor u is waarschijnlijk de belangrijkste wijziging, dat de controls van ISO 27001 slechts ingevuld hoeven worden, als dit volgens uw risicoprofiel noodzakelijk is. Dat betekent, niet meer honderden maatregelen implementeren, geen papierwinkel meer en eindelijk wordt draagvlak vanzelfsprekend.

Informatiebeveiliging is niet onbelangrijk, maar de keuze voor en de implementatie van adequate maatregelen om belangrijke bedrijfsrisico’s te verminderen mogen nooit gebaseerd zijn op bangmakerij en opgeblazen incidenten. Deze cursus is primair gericht op het in de praktijk beheersen van deze bedrijfsrisico’s.

Vaak eist de moederorganisatie van een SSC voortdurend aanvullende services. De essentie van het concept – het leveren van een hoge toegevoegde waarde tegen lage kosten – gaat hierdoor meestal verloren. Er blijft weinig meer over dan een facilitaire afdeling die onvoldoende marktconform werkt. Een eigen dienstenportfolio waarmee schaalgrootte mogelijk is, is een voorwaarde voor het succes van een SSC.

Krijgt u energie van procedures en procesbeschrijvingen of van stoffige handboeken in de kast? Een beknopte vastlegging van bedrijfsprocessen (procedures, AO) is meestal wel noodzakelijk, maar nooit doel op zich. Beschrijf uw bedrijfsprocessen op een pragmatische manier, volgens een aanpak die direct leidt tot een effectieve verbetering van uw processen.