Directies vinden informatiebeveiliging best wel belangrijk, mits ze maar begrijpelijk gerapporteerd worden over de risico’s, zodat ze een prioriteitsstelling kunnen maken tussen al die aandachtsvelden die om aandacht schreeuwen. In dit artikel een beschrijving hoe zo’n rapportage opgezet kan worden.

Business Continuity gaat over de business van bedrijven en organisaties en nauwelijks over security, ICT of BHV. De factoren die er echt toe doen, worden hierbij vaak over het hoofd gezien. In dit artikel een aantal casestudies voor zowel profit als non-profit organisaties, uitgewerkt op hoofdlijnen.

Veel beveiligers en ICT’ers zien gebrek aan awareness als een belangrijk probleem bij security. Als je security isoleert en de focus legt op alleen dit probleem, dan is dat ook inderdaad het geval. Een beveiliger echter is geen wetgever, maar een dienstverlener die zorgt voor optimale informatiebeveiliging.

Om kwaliteit van zorg te kunnen beoordelen is informatie nodig. Om informatie te verkrijgen moeten gegevens worden verzameld door te meten. Indicatoren zijn meetbare aspecten die een beeld geven van de kwaliteit van zorg. In dit artikel wordt duidelijk welke indicatoren er zijn en hoe je ze bepaalt. Een en ander wordt toegelicht met een voorbeeld uit de thuiszorg (kraamzorg).

Risk management volgens ISO 31000 is vooral een kans om bestaande managementsystemen te integreren in de dagelijkse bedrijfsvoering. Houd de implementatie daarom simpel en praktisch.

Vaak wordt de NEN 7510 norm opgevat als een absolute norm, die verplicht tot het invoeren van meer dan 100 maatregelen. De beschreven maatregelen zijn echter best practices op basis waarvan iedere zorginstelling zelf de eigen norm kan vaststellen. Er is dus niet sprake van een verplichting, maar het gaat om een keuze, waardoor awareness vaak geen issue meer is en er een pragmatische invoering mogelijk wordt. Niet de norm, de auditor of de informatiebeveiliger bepaalt, maar het management, zelfs al wordt de norm opgelegd.

Veel leveranciers van beveiligingsoplossingen gaan nog uit van de gedachte: Wie angst zaait zal business oogsten. ICT-bladen en -nieuwsbrieven worden vergiftigd met beveiligingsellende. Laat u daardoor niet misleiden. In dit artikel suggesties hoe u informatiebeveiliging en business continuity effectief en pragmatisch kunt aanpakken.

Bedrijven die informatiebeveiliging serieus nemen en maatregelen afgestemd willen hebben op hun beleidsuitgangspunten en hun risicoprofiel, kunnen ISO 27002 gebruiken om te komen tot een passend security management systeem, inclusief een natuurlijke verbetercyclus.

De ISO-normen voor informatiebeveiliging gaan op de schop. Voor u is waarschijnlijk de belangrijkste wijziging, dat de controls van ISO 27001 slechts ingevuld hoeven worden, als dit volgens uw risicoprofiel noodzakelijk is. Dat betekent, niet meer honderden maatregelen implementeren, geen papierwinkel meer en eindelijk wordt draagvlak vanzelfsprekend.

Normatieve gedragscodes met allerlei geboden en verboden kunnen beter vervangen worden door een inspirerende ethische code, waarvoor de hoogste baas graag op de zeepkist klimt.