Alignment is al weer een beetje een verouderd begrip. Waarschijnlijk omdat het slechts een illusie is, dat we die situatie ooit bereiken. Bijgaand een eigen belevenis, waarmee ik weer met de neus op de feiten werd gedrukt.

‘Van je fouten leer je’. Het is een bekend gezegde en de reden waarom in de ICT incidenten worden geregistreerd. Een incident wordt geregistreerd samen met de oplossing als een bekende fout (FAQ). Iedereen die later met zo’n zelfde incident wordt geconfronteerd kan daardoor de oplossing simpel toepassen. Voor de registratie wordt beoordeeld of de [...]

Adviseurs zijn vaak net kuddedieren. Ze volgen de gebaande paden en gaan af op reputaties van ERP-leveranciers. Soms terecht, maar soms jagen ze hiermee hun klanten nodeloos op kosten. Het gaat tenslotte niet om de functionaliteit van de ERP-software, maar om de bruikbaarheid.

Risk management volgens ISO 31000 moet dienend zijn aan de managementprocessen en andere managementsystemen. Zo niet, dan leidt het tot competentiestrijd en machtsspelletjes.

ISO 31000 biedt een kader voor risk management. Dit artikel geeft van de belangrijkste begrippen een samenvatting en beschrijft op hoofdlijnen de principes, het kader of framework en de processen.

Vaak wordt de NEN 7510 norm opgevat als een absolute norm, die verplicht tot het invoeren van meer dan 100 maatregelen. De beschreven maatregelen zijn echter best practices op basis waarvan iedere zorginstelling zelf de eigen norm kan vaststellen. Er is dus niet sprake van een verplichting, maar het gaat om een keuze, waardoor awareness vaak geen issue meer is en er een pragmatische invoering mogelijk wordt. Niet de norm, de auditor of de informatiebeveiliger bepaalt, maar het management, zelfs al wordt de norm opgelegd.

Veel leveranciers van beveiligingsoplossingen gaan nog uit van de gedachte: Wie angst zaait zal business oogsten. ICT-bladen en -nieuwsbrieven worden vergiftigd met beveiligingsellende. Laat u daardoor niet misleiden. In dit artikel suggesties hoe u informatiebeveiliging en business continuity effectief en pragmatisch kunt aanpakken.

Functioneel beheerders zijn niet te benijden. Ze heten de regisseurs van de informatievoorziening te zijn, maar dat geldt alleen in het weekend, als business en ICT er niet zijn. Ook BiSL is niet het gewenste breekijzer. Het is gebaseerd op een aantal aannames die in de praktijk vaak onjuist blijken te zijn.

Bedrijven die informatiebeveiliging serieus nemen en maatregelen afgestemd willen hebben op hun beleidsuitgangspunten en hun risicoprofiel, kunnen ISO 27002 gebruiken om te komen tot een passend security management systeem, inclusief een natuurlijke verbetercyclus.

Klanten die weten wat ze met hun ICT willen, gaan op zoek naar professionele ICT-dienstverleners. Andere, veelal MKB-bedrijven, willen ontzorgd worden door klantvriendelijke service bedrijven. Aan u de keuze tegenover welke klanten u zich wilt positioneren.