Het begint met goede bedoelingen: een informatiebeveiligingsbeleid, opgesteld om compliant te zijn en risico’s te beperken. Alles wordt netjes vastgelegd: wie doet wat, hoe en waarom. Maar dan… blijft het stil. Er volgt geen implementatie, controle of naleving. Helaas komt dit in de praktijk nog vaak voor. Ook de cijfers liegen er niet om: datadiefstal neemt exponentieel toe. Het aantal ransomware-aanvallen in Nederland waarbij data werd gestolen was vorig jaar bijna twee keer zo groot als het jaar ervoor. Een helder beleid over hoe je jouw bedrijfs-, klant- en medewerkersgegevens beschermt en verwerkt, is daarom cruciaal.

Securitybeleid in de markt

In Nederland wordt het gebrek aan uitvoerbaar beleid vaak onderschat. In de driehoek People, Process, Technology is het procesgedeelte leidend bij het opzetten van een fatsoenlijke cybersecurity-strategie. Wat doe je nu, wat wil je gaan doen en hoe ga je het doen? Dat zijn de grootste vraagstukken. Om weerbaar te zijn moet je immers voorbereid zijn. We zien in de markt en bij onze klanten dat het begrip en draagvlak voor een informatiebeveilingsbeleid wel aanwezig zijn in de beslissende lagen van een organisatie. Er moet ten slotte voldaan worden aan richtlijnen en wetgeving. Waar echter een gebrek aan is — en behoefte ligt — is hulp bij het opstellen en uitvoerbaar maken hiervan. Zonder uitvoering van je beleid is het beleid zelf immers niets waard!

Risico’s voor organisaties

In 40 procent van de door de Autoriteit Persoonsgegevens (AP) onderzochte gevallen beschikten bedrijven of instellingen wel over beleid tegen cyberaanvallen, maar voerden dit niet juist uit of hielden er onvoldoende toezicht op. In 33 procent van de gevallen was er geen of onvoldoende beleid tegen cyberaanvallen aanwezig. Dat is precies wat we binnen het cybersecurityteam van Acknowledge ook constateren bij onze klanten. De 40 procent die wél beleid hebben, kunnen de technische vertaalslag niet maken en de 33 procent zijn bij voorbaat weerloos tegen elke vorm van cybercriminaliteit.

Wat maakt een effectief beleid?

Een sterk securitybeleid bestaat uit een set aan doelstellingen en beschrijvingen waarmee bedrijfsrisico’s in kaart worden gebracht. Vanuit daar worden deze vertaald naar een voortdurende cirkel van doelstellingen, werkzaamheden en uiteindelijk techniek:

  • Doel: beschermen van vertrouwelijkheid, integriteit en beschikbaarheid van informatie.
  • Toepassing: geldt voor alle medewerkers, systemen en externe partijen.
  • Risicoanalyse: identificeer bedreigingen en kwetsbaarheden.
  • Information Security Management System (ISMS): systematische aanpak om de informatiebeveiliging binnen een organisatie te beheren en te verbeteren.
  • Doelstellingen: datalekken voorkomen, bewustzijn verhogen en maatregelen treffen.
  • Verantwoordelijkheden: rollen en taken duidelijk vastleggen.
  • Beleidsonderdelen: uitzonderingen, rapportage en sancties bij overtreding.
  • Normen: aansluiten bij ISO, BIO, AVG, NIS2, NEN en normenkaders.
  • Evaluatie: regelmatige toetsing en verbetering (PDCA-cyclus).

Toepassen is de volgende stap

Het gaat er dus om dat je als organisatie niet alleen securitybeleid hebt, maar je hier ook goed aan kunt houden en regelmatig controleert of dat beleid nog actueel is. Want hoe goed je bedoelingen ook zijn, wanneer dit niet goed wordt nageleefd vormt het een risico voor je organisatie. Gelukkig hoeft uitvoerbaar beleid niet ingewikkeld of kostbaar te zijn. Voor de prijs van een kop koffie per medewerker per maand kun je al een basisbeleid opstellen en implementeren dat aansluit op richtlijnen zoals NIS2, ISO, NEN, BIO en het Normenkader Onderwijs. En voor een kop koffie helpen wij jouw organisatie ook graag bij een eerste aanzet in de vorm van een gratis workshop.