Informatiebeveiliging, een technisch feestje?

Wat bestuurders namelijk niet weten, is dat ze juist door informatiebeveiliging bij technische mensen te beleggen, een belangrijke stap in het proces missen. Resultaat is een toegenomen risico om enkel te investeren in oplossingen die wel technische maar geen organisatorische vraagstukken in informatiebeveiliging aankaarten.

Waarom de bal niet bij ICT hoort te liggen

Informatiebeveiliging is bij uitstek geschikt om juist vanuit de processen te benaderen. De vraag die je als organisatie kunt stellen is: welke processen hebben wij waar informatiebeveiliging van belang is? Door een Business Impact Analyse op je processen uit te voeren, krijg je inzicht in risico’s die je accepteert (bijvoorbeeld: de eventuele kosten wegen niet op tegen het geringe risico van optreden), overdraagt (het proces draait bijvoorbeeld bij een externe aanbieder in de cloud) of bestrijdt.

Maar risico’s minimaliseren kost tijd en geld. Dat zijn impopulaire investeringen. Juist door beslissers inzicht te geven in de risico’s (bij uitstek financieel) die de organisatie loopt bij een gebrekkige mitigatie of het geheel ontbreken daarvan, vergaar je het vertrouwen en commitment van het management. Daar waar eerst bij een informatiebeveiligingsincident met de vinger gewezen kon worden naar de ICT-afdeling, is het nu een risico waarvan het management op de hoogte was en te laat of verkeerd heeft beoordeeld.

Met duidelijke risico’s, komen de mogelijkheden om ze daadwerkelijk aan te pakken binnen handbereik. Nu kunnen de technische mensen aan tafel gevraagd worden om te inventariseren op welke manier de risico’s technisch aangepakt kunnen worden. Zorg ervoor dat naast de techneuten ook mensen aan tafel zitten die de link kunnen leggen tussen business en IT. Zij zijn benodigd om de essentie van het technische vraagstuk en de antwoorden hierop te begrijpen, en moeten in staat zijn hieraan de prioriteiten en mogelijkheden van de business te koppelen.

Is het ook werkbaar?

Bij een uitkomst waarmee mensen moeten gaan werken, is het essentieel om de gebruiksvriendelijkheid ervan onder de loep te nemen. Een oplossing kan technisch nog zo fantastisch in elkaar zitten, indien het aan gebruiksvriendelijkheid ontbreekt wordt er omheen gewerkt en frustratie gekweekt. Besteed hier zo vroeg mogelijk in het proces aandacht aan om een succesvolle implementatie en adoptie waar te kunnen maken.

Opnieuw bezien is informatiebeveiliging dus geen technisch feestje, maar een C-level agendapunt waarbij de aanpak begint vanuit je organisatieprocessen. Dat de techniek hierin een belangrijke rol speelt is evident, maar de aanvliegroute is altijd procesmatig om te zodoende te zorgen voor een goede aansluiting bij (h)erkende risico’s.

Bij Exite geloven we dat het, op deze manier strategisch inzetten van ICT uiteindelijk meer voor de organisatie oplevert. Klik op de buttons hieronder om onze meerwaarde als schakel tussen techniek en organisatieprocessen te ontdekken.