Informatiebeveiliging. Het klinkt ingewikkeld. En, vooral, als héél veel werk en administratieve rompslomp. Het is dan ook een onderwerp dat aan veel bestuurstafels vakkundig wordt ontweken. Toch komt het moment dat de hete aardappel moet worden opgepakt. Maar door wie? Kunnen we de IT-manager een dag per maand vrijspelen om ermee aan de slag te gaan? Werkt er toevallig een ambitieuze (en goed betaalbare) collega bij de Servicedesk die kan ondersteunen? “Eh…over drie maanden zijn jullie wel klaar, toch?”
Ja, je moet ergens beginnen, de goede bedoelingen oppoetsen, de koe bij de hoorns vatten. Alleen: ‘zomaar’ starten, leidt meestal niet naar de gewenste finish. Bijvoorbeeld omdat het concept informatiebeveiliging eigenlijk niet goed wordt begrepen. Vaak wordt het puur technisch (“Fred, timmer de systemen he-le-maal dicht”) uitgelegd, maar techniek is maar een klein onderdeel van het geheel. Komt bij dat de ingewikkeld geformuleerde normteksten (zie NEN 7510) het er niet veel makkelijker of duidelijker op maken. Waar het écht om draait, is dat je als organisatie antwoorden formuleert op vijf vragen, namelijk:
Informatiebeveiliging draait niet om het afvinken van een technische actielijst. En je kunt evenmin volstaan met standaardmaatregelen die op elke organisatie en sector van toepassing zijn. Het gaat erom dat je de kroonjuwelen van jouw organisatie passend beschermt. Ongeacht of die in een kluisje in de cloud liggen, op post-its zijn gekrabbeld of in het koppie van een collega zijn opgeslagen. En: wat ‘passend’ is, bepaal je zelf. Dat begrijpen, werkt bevrijdend. Weg met stoffige beleidsdocumenten die niemand leest! Weg met onnodige en onneembare digitale hindernissen! Weg met ingewikkelde normenkaders en teksten! Laten we in plaats daarvan onderzoeken wat wij zelf belangrijk en acceptabel vinden, en hoe we dit op een praktische manier kunnen borgen. Tuurlijk, het is voor elke organisatie ‘een moetje’ om de informatiebeveiliging goed in te richten. Enerzijds omdat dit een wettelijke verplichting is, maar vooral omdat passend beleid je in staat stelt om prettig én veilig te werken. Zorgcollega’s zullen je dankbaar zijn, je portemonnee ook. Dus ja, eigenlijk is informatiebeveiliging zowel een ‘moetje’ als een ‘wilje!’