Hoe formuleer je een security beleid?

Download onze Diepgaand cybersecurity onderzoek bij Taxameter

Handig om te checken waar de risico’s liggen.

Overzicht

Hoe formuleer je een security beleid?

Voordat men start met het opstellen van een security beleid is het van belang dat iedereen dezelfde taal spreekt als het gaat om security. In onze ervaring heeft een informatiebeveiliger een heel ander beeld van een security beleid dan een directie, lijnmanager of een ICT manager. Voor mensen die buiten het vakgebied security werkzaam zijn, heeft security alles te maken met het voorkomen dat vertrouwelijke informatie op straat komt te liggen. Voor een informatiebeveiliger gaat het ook om de beschikbaarheid en integriteit van de informatie.

waarom heb ik een security beleid nodig?

Vervolgens is het van belang om de vraag te beantwoorden: “waarom heb ik een security beleid nodig?” Er zijn natuurlijk legio voorbeelden in de media te vinden. In de praktijk werkt het eigenlijk het beste als men een voorbeeld heeft vanuit de eigen organisatie. Zowel bij de directie als bij de medewerkers moet het belang van security duidelijk zijn om voldoende draagvlak in de organisatie te krijgen.

De volgende stap is gericht op de vraag: “Waartegen moet er worden beveiligd”. Welke dreigingen zijn van toepassing voor mijn organisatie. M.a.w. wat zijn de belangrijkste risico’s. Om begrip te creëren bij het topmanagement is het van belang om informatiebeveiliging te vertalen naar informatierisico’s en deze in te bedden in het algehele risicomanagement van de organisatie.

Ook de vraag:”Wat moet er worden beveiligd” moet worden beantwoord. M.a.w. wat zijn de kritieke assets van een bedrijf. Binnen de context van informatiebeveiliging is het van belang om de data en de informatiestromen te classificeren. Door deze classificatie zorgvuldig te doen, weet men ook precies waar men zich op moet richten bij het opstellen van het security beleid en het treffen van maatregelen.

Tot slot de vraag:”Welke middelen (maatregelen) moet men inzetten om de bovengenoemde assets te beschermen tegen de risico’s die men heeft geïdentificeerd? Hier gaat het vaak mis! Voor de keuze van de maatregelen wordt vaak klakkeloos gekeken naar de standaarden als de ISO27002, NEN7510, etc. Naar onze mening is het van belang om een visie te ontwikkelen op het gebied van security die aansluit bij de bedrijfsdoelstellingen van de organisatie. Security staat in dienst van de bedrijfsprocessen en niet andersom! Deze stap wordt in veel gevallen overgeslagen. In een tijd waarin “Cloud-computing”,” het nieuwe werken”, “Bring your own device” en “ketensamenwerking” steeds meer een integraal onderdeel vormen van de bedrijfsvoering van de organisatie, is een visie en strategie op het gebied van security onontbeerlijk.

Wat moet er in een security beleid staan?

Om dit vast te stellen moeten in ieder geval de volgende vragen worden beantwoord: “Wie zijn verantwoordelijk bij problemen?” Wat zijn de kritische bedrijfsprocessen en data?” “Wie heeft toegang tot welke data?” Aan welke wet- en regelgeving dient men te voldoen?” “Hoe gaat men om met uitzonderingen op het beleid?” Hoe is het toezicht en handhaving ingeregeld en wat is het sanctiebeleid?” “Wat zijn de financiële middelen?” “Wat is de visie op security binnen de organisatie”? , “Hoe wordt het securitybeleid geborgd in de organisatie?” Wat is de geldigheid van het securitybeleid?”.

Samenvattend: Voordat men met het securitybeleid begint is een gedegen communicatie aanpak noodzakelijk om te zorgen dat iedereen dezelfde taal spreekt en er voldoende besef en draagvlak is gerealiseerd voor security binnen de organisatie. Het beleidsstuk moet vervolgens ook aansluiten bij het algehele beleid en doelstellingen van de organisatie.  Kan men de toegevoegde waarde van security formuleren voor het behalen van de bedrijfsdoelstellingen, dan heeft men pas echt draagvlag gerealiseerd!

Deel deze insight:

Facebook
LinkedIn
Twitter
Print
Email

Voordeel SBL

Wat zijn de voordelen van SBL Cyber Security

Advies op maat

Cybersecurity is maatwerk. Niet iedere organisatie is hetzelfde en loopt dezelfde risico’s. SBL stemt advies, aanpak en oplossingen af op uw behoefte.

Toegang tot ervaren experts

Niet iedereen weet alles. Door de ervaring van SBL kunnen we wel alles overzien. Via SBL heeft u toegang tot ervaren experts die u kunnen helpen.

Maak Cybersecurity inzichtelijk

SBL zorgt voor expertise en hulpmiddelen om uw ICT omgeving en uw beveiligingsstatus in kaart te brengen. Het vertrekpunt voor een gedegen verbeterplan.

Effectief samenwerken

SBL werkt graag voor u wanneer dat nodig is. Wij zijn op de locatie of wij werken met de hedendaagse hulpmiddelen veilig online. Beter voor het milieu en bovendien efficiënte tijdsbesteding.

Hulp nodig bij cyber security?

Alleen nog geen idee waar te beginnen

Vragen?

of

Plan hier uw afspraak​. Wij bellen u zo spoedig mogelijk terug!