Ga naar content
Zoek op onderwerpen, blogs, diensten etc.

Beginnen met informatiebeveiliging

Blogs
29-1-2019

Herken je dat?

Je weet écht wel dat informatiebeveiliging keihard nodig is. Al is het maar omdat "de AVG zegt dat het moet". Of omdat de halve wereld gehackt is, en de andere helft waarschijnlijk volgende week aan de beurt is. En daar wil jij liever niet tussen zitten. Tegelijkertijd werkt jouw organisatie met Office 365. Prachtig spul, maar het staat wel in de cloud. Zucht. Hoe kan ik mijn data daar nou goed beschermen? En waar ga ik dan in godsnaam mee beginnen? Mooie vraag. Een onderwerp als informatiebeveiliging levert je 9 van de 10 keer ontzettend moeilijke en lange antwoorden op. Met als rode draad risicoprofielen, de NSA, juridisch proza en allerlei dingen die je vooral niet meer moet doen. Tuurlijk, het heeft er allemaal mee te maken. Maar wellicht word jij, net als ik, toch iets blijer van een pragmatischere insteek. Waarbij het vooral gaat over wat er wél kan.

Begin eerst met de bedoeling

Microsoft hanteert als missie "to empower every person and every organization on the planet to achieve more.". Dat is hun bedoeling, en ze geven daar invulling aan door systemen als Office 365 en Azure te maken.
Focus houden op de bedoeling van een organisatie, gaat jou helpen om informatie-beveiliging écht te laten werken.

Met een voorbeeld erbij snap je direct wat ik bedoel. Een zorgorganisatie wil haar cliënten maximaal ondersteunen om alles uit het leven te halen. Systemen als mail en ECD zijn daarbij ondersteunend. Als medewerkers hierdoor zo min mogelijk met computers en administratie in de weer willen zijn, doe hier dan ook iets mee met jouw aanpak voor informatiebeveiliging. Pas je aan aan de bedoeling. In hoeverre maakt jouw organisatie écht werk van deze open deuren?

1. Doe zo min mogelijk - Focus je op het aanpakken van de grootste beveiligingsergernis van medewerkers. Grote kans dat dit is: "Ik moet zoveel wachtwoorden onthouden". Inloggen met vingerafdruk, gezicht of token is dan altijd veiliger, als je daarmee de zwarte boekjes, Post-its en fictieve Outlook-contactpersonen ("Jan Pas uit Geldstad") kunt terugdringen. Win-win.

2. Je snapt het niet! - Grote kans dat jouw maatregel dan nog te moeilijk is, of onvoldoende rekening houdt met de bedoeling. Kun jij in een simpel plaatje of een paar zinnen uitleggen wat de maatregel concreet doet? En waarom dit jouw medewerkers helpt bij bewuster omgaan met data? Wanneer heb je eigenlijk voor het laatst zo'n gesprek met ze gehad?

3. Hoe kom ik bij Rome? Er zijn ontzettend veel manieren denkbaar om een maatregel in te vullen. Normen en verordeningen als ISO 27001 en AVG zijn bewust open en beschrijvend geschreven. Ga dus samen met medewerkers (ambassadeurs, enthousiastelingen én criticasters) op zoek naar dat wat past. Soms maak je het veiliger door mensen minder vaak te vragen om een Azure MFA token. Delen met externen is soms meer compliant in een open systeem waarin je elkaar aanspreekt op gedrag, dan een dichtgetimmerd systeem dat creatieve oplossingen uitlokt.
Bottom line: Bescherm wat moet, en doe dat op een manier die jouw organisatie zoveel mogelijk helpt en ondersteunt. En als het slimmer of simpeler kan, doe dat dan vooral.