fbpx

Drie praktijktips om de informatiebeveiliging van jouw organisatie naar een hoger niveau te brengen

De Nederlandse Transplantatiestichting (NTS) heeft onlangs een NEN 7510-certificering behaald. Deze informatiebeveiligingsnorm is vergelijkbaar met de ISO27001 en de BIO, maar richt zich specifiek op de zorgsector. Vanuit Ordina hebben we de NTS de afgelopen twee jaar ondersteund in het bereiken van dit doel door middel van de dienst CISO-as-a-service. We zijn er dan ook trots op dat we een bijdrage hebben kunnen leveren aan het verbeteren van de informatiebeveiliging binnen de NTS. Dit is mede gelukt dankzij de inzet vanuit Ordina en goede samenwerking met en bij de organisatie zelf. Het eindresultaat is een positieve uitslag van de certificeringsaudit. We delen graag drie algemeen toepasbare tips die tijdens dit traject zijn opgedaan. Frits Grotenhuis deelt zijn ervaringen, waarbij Karl Baruel heeft meegeschreven, beide zijn business consultants bij Ordina.

Tip 1: Leg geen probleem neer zonder oplossing
Het is misschien een open deur, maar in verschillende afstemmingen met managementteam en stuurgroep blijkt dat je bij het blootleggen van problemen ook direct oplossingsrichtingen moet formuleren. Hoe lukt het anders om bepaalde verantwoordelijkheden voor informatiebeveiliging goed te beleggen? Het gaat erom dat je niet alleen moet uitzoeken wat de oorzaak van het probleem is, maar ook wat het handelingsperspectief is. Een goed voorbeeld is als voor een bepaald informatiebeveiligingsprobleem technische expertise vereist is. Dan is het goed om het probleem scherp te krijgen. Maar dan is het ook goed om mee te denken voor een haalbare oplossing binnen de context van de organisatie. Bijvoorbeeld door medewerkers vanuit de IT-afdeling inhoudelijk te betrekken. Maar ook door na te gaan of taken en verantwoordelijkheden bij de juiste functies zijn belegd. Valt hierin concreet te schuiven? Dit zorgt voor een snellere overeenstemming en zorgt ervoor dat de stuurgroep de kans krijgt om daadwerkelijk actie te ondernemen. Zie het als een handelingsperspectief vanuit expertise en betrokkenheid.

Tip 2: Less is more
De NEN 7510, de ISO27001 en de BIO, geven allemaal handvatten om een GAP-analyse uit te voeren. Helaas is het gevaar bij deze normen dat je op een gegeven moment vooral in hoofdstukken van de norm en specifieke maatregelen gaat redeneren. Het verzanden in details is hierbij een groot risico. Secuur te werk gaan met de kroonjuwelen, ofwel de belangrijkste informatie, voor de organisatie is van groot belang. Het is essentieel dat de doelgroep begrijpt waarom en wat er precies moet gebeuren. Hierbij geldt het principe ‘less is more’. Gebruik begrijpbare taal en schrijf naar het publiek toe.

Een norm schrijft gedetailleerde mogelijkheden voor. Doe dan ook niet meer dan nodig is en pas risicomanagement toe. Houd rekening met de risico’s en de bijbehorende prioriteiten en pas de kunst van het weglaten toe wanneer het risiconiveau dit toelaat.

Tip 3: Namen en rugnummers
Beleid beschrijft de afspraken voor het effectief beveiligen van informatie. Beschrijf daarbij ook wie dat precies op moet pakken. Koppel de juiste skills en vaardigheden aan deze taken en houdt rekening met capaciteit en beschikbaarheid.

Een noodprocedure is leuk, maar wie neemt de telefoon op bij een datalek of een hack? Beschrijf de essentiële taken samen in een duidelijk overzicht of borg dit in functieprofielen. Eventueel in de bijlage van beleid of procedures. Dit voorkomt gaten in het beveiligingsteam. Want wat nu als personeel wisselt? Om ellende van kwetsbaarheden, hacks en datalekken te voorkomen, is het belangrijk dat namen en rugnummers bekend zijn.

Met deze drie tips heb je een aanzet in de goede richting om de informatiebeveiliging in jouw organisatie naar een hoger volwassenheidsniveau te brengen.

Interesse?
Wil je meer weten over wat er komt kijken bij certificeringstrajecten? Of wil je jouw organisatie verder helpen op het gebied van informatiebeveiliging, ga dan het gesprek met ons aan. We denken graag met je mee. Samen zoeken we de oplossing die het beste bij jouw organisatie.

Neem vrijblijvend contact op met Daniel Morpey, daniel.morpey@ordina.nl (06 501 55 655), of Freek van Dieren, freek.van.dieren@ordina.nl (06 243 49 339).