Directies vinden informatiebeveiliging best wel belangrijk, mits ze maar begrijpelijk gerapporteerd worden over de risico’s, zodat ze een prioriteitsstelling kunnen maken tussen al die aandachtsvelden die om aandacht schreeuwen. In dit artikel een beschrijving hoe zo’n rapportage opgezet kan worden.

Ogenschijnlijk hebben veel organisaties een moderne structuur, maar als je iets dieper kijkt, blijkt het denken in afdelingen bijna onuitroeibaar te zijn. Dit afdelingsdenken maakt het voor organisaties vrijwel onmogelijk voortdurend tegemoet te komen aan de steeds veranderende omgevingseisen. Indien de processen opgebouwd worden vanuit de behoefte van de afnemer en de prioriteiten en randvoorwaarden die de afnemer stelt, kan een organisatie kostenbeheerst en flexibel inspelen op de eisen van de omgeving. Procesmanagement kan hierin een belangrijke enabler zijn.

Risk management volgens ISO 31000 moet dienend zijn aan de managementprocessen en andere managementsystemen. Zo niet, dan leidt het tot competentiestrijd en machtsspelletjes.

Veel beveiligers en ICT’ers zien gebrek aan awareness als een belangrijk probleem bij security. Als je security isoleert en de focus legt op alleen dit probleem, dan is dat ook inderdaad het geval. Een beveiliger echter is geen wetgever, maar een dienstverlener die zorgt voor optimale informatiebeveiliging.

Om kwaliteit van zorg te kunnen beoordelen is informatie nodig. Om informatie te verkrijgen moeten gegevens worden verzameld door te meten. Indicatoren zijn meetbare aspecten die een beeld geven van de kwaliteit van zorg. In dit artikel wordt duidelijk welke indicatoren er zijn en hoe je ze bepaalt. Een en ander wordt toegelicht met een voorbeeld uit de thuiszorg (kraamzorg).

ISO 31000 biedt een kader voor risk management. Dit artikel geeft van de belangrijkste begrippen een samenvatting en beschrijft op hoofdlijnen de principes, het kader of framework en de processen.

Vaak wordt de NEN 7510 norm opgevat als een absolute norm, die verplicht tot het invoeren van meer dan 100 maatregelen. De beschreven maatregelen zijn echter best practices op basis waarvan iedere zorginstelling zelf de eigen norm kan vaststellen. Er is dus niet sprake van een verplichting, maar het gaat om een keuze, waardoor awareness vaak geen issue meer is en er een pragmatische invoering mogelijk wordt. Niet de norm, de auditor of de informatiebeveiliger bepaalt, maar het management, zelfs al wordt de norm opgelegd.

Veel leveranciers van beveiligingsoplossingen gaan nog uit van de gedachte: Wie angst zaait zal business oogsten. ICT-bladen en -nieuwsbrieven worden vergiftigd met beveiligingsellende. Laat u daardoor niet misleiden. In dit artikel suggesties hoe u informatiebeveiliging en business continuity effectief en pragmatisch kunt aanpakken.

Beschrijving hoe het opzetten van uw Business Continuity Plan pragmatisch teruggebracht kan worden tot een behapbaar probleem dat u zelf kunt oplossen

Bedrijven die informatiebeveiliging serieus nemen en maatregelen afgestemd willen hebben op hun beleidsuitgangspunten en hun risicoprofiel, kunnen ISO 27002 gebruiken om te komen tot een passend security management systeem, inclusief een natuurlijke verbetercyclus.