Een strategische benadering van informatiebeveiliging
Informatiebeveiliging: van praktisch naar strategisch
Organisaties kiezen vaak voor een praktische invulling van informatiebeveiliging. Met het vergrendelen van een werkplek, een duidelijke wachtwoordbeleid en het aanpassen van onveilige software kun je al snel stappen maken in het verbeteren van de informatiebeveiliging in je organisatie. De praktische benadering is daarmee een begrijpelijke insteek, zeker wanneer je net start met aandacht voor het onderwerp. Op het vlak van security zullen ook altijd weer nieuwe uitdagingen ontstaan, die herkend, erkend en gemitigeerd moeten worden. Borg je dat proces goed, dan kun je als organisatie aantonen dat je voldoet aan de ISO27001 norm voor informatiebeveiliging.
Dat is fijn, want een certificaat vertelt jou en je opdrachtgevers dat informatiebeveiliging in jouw organisatie de aandacht krijgt die het verdient. Maar zou er ook een volgende stap zijn? Wat als je informatiebeveiliging ook onderdeel maakt van je bedrijfsstrategie? Zou dat naast een betere veiligheid ook positief kunnen bijdragen aan het bedrijfsresultaat? De vraag stellen is hem beantwoorden. Wij geloven van wel. We leggen je dat graag uit in dit artikel.
Over een dakgoot en een dak
Het uitrollen van een patch voor niet veilige software, het vervangen van een onbetrouwbare router of het verwijderen van met virus besmette bestanden. Het zijn allemaal kleine spoedreparaties. Je dicht het lek in de dakgoot. Dat moet wel, want er is een acuut probleem ontstaan. Maar het loont om ook naar de staat van het gehele dak te kijken, voordat je aan de slag gaat met het repareren van die lekkende dakgoot. Wat als dat lek steeds veroorzaakt wordt door een constructiefout in dat dak? Of als je al weet dat het hele dak over een paar maanden niet meer toereikend gaat zijn, omdat je beneden fors gaat uitbouwen?
Een focus op reparaties, kan betekenen dat je bij forse groei tegen IT problemen gaat aanlopen. Reactief moet je dealen met piepende en krakende servers, onvoldoende bandbreedte, een gebrek aan tijdig geïnstalleerde hardware én onderbezetting op je helpdesk. Ongetwijfeld problemen die je goed kunt oplossen, maar voorkomen geeft natuurlijk veel meer rust én voorkomt dat er een rem ontstaat op je groei. Met een focus op de hele dakconstructie, breng je van tevoren de implicaties van mogelijke risico’s in kaart en bepaal je hoe je daar op wilt voorsorteren. Organisaties die dit goed voor elkaar hebben, geven IT een wezenlijke plek aan tafel bij de strategiebepaling. Voor de business goals wordt met elkaar bekeken wat de impact is voor informatiebeveiliging. Wat de prioriteiten zijn. Welke risico’s als eerste afgedekt moeten worden, om de grootste blokkades af te wenden.
Vragen stellen
Alhoewel de impact van business goals op informatiebeveiliging voor elke organisatie anders zal zijn, zijn er een aantal vragen die altijd helpen bij het vinden van een betere afstemming tussen business en IT:
Als we willen verdubbelen in het aantal klanten in de komende 3 jaar, wat heeft dan voor gevolgen voor onze infrastructuur?
Is een serverpark in eigen beheer mogelijk zonder forse investeringen?
Wanneer begint het bij de supportafdeling te piepen en te kraken?
Wat betekenen de groeidoelstellingen voor het totaal aantal medewerkers?
Is onze rechtenstructuur goed voorbereid op de komst van nieuwe medewerkers?
Welke aspecten van de dienstverlening zijn afhankelijk van IT en cruciaal voor onze continuïteit?
Zijn onze cruciale bedrijfsonderdelen voorzien van de juiste backup-oplossingen en continuïteitsplannen?
Wat zijn de gevolgen van onze groeidoelstellingen voor de groei van onze data?
Zijn onze cloud diensten voorbereid op groei?
Hebben we voldoende eigen opslag om ons uitwijkscenario ook bij groei te kunnen garanderen?
Organisaties die zich in een vroeg stadium dit soort vragen stellen én actief aan de slag gaan met de antwoorden en daaruit voortvloeiende acties, zijn de organisaties waarbij IT een enabler wordt voor groei. Daarmee wordt informatiebeveiliging veel meer een middel om grote bedrijfsambities waar te kunnen maken en IT meer dan alleen de club die snel moet worden ingevlogen voor spoedreparaties.
Bridging the gap
Een strategische blik op informatiebeveiliging draagt bij aan het dichten van het gat tussen IT en de rest van de organisatie. Nog steeds heerst bij IT te vaak de gedachte dat ‘de business’ het bedrijfsplan continu te pas en te onpas wijzigt. Dat beslissingen al zijn gemaakt en IT maar moet volgen. Of dat de rest van een organisatie zelfs helemaal geen notie heeft van het nut van IT: ‘het moet gewoon allemaal werken’. Andersom kan in de rest van de organisatie het beeld zijn ontstaan dat IT vooral een kostenplaats is. Veel budget en weinig resultaat, tegen weinig snelheid. Dat IT vooral in de hoek van de onmogelijkheden zit. Los van dat een dergelijke loopgravenoorlog niet optimaal is voor de cohesie in een organisatie, is deze afstand in de organisatie ook nog eens de voornaamste oorzaak van een focus op die lekkende dakgoot, in plaats van op de dakconstructie. Zo ontstaan er infrastructuren die totaal niet zijn toegespitst op de business needs, met alle gevolgen voor performance, schaalbaarheid en veiligheid van dien. Of werkt men met applicaties die uitblinken in functionaliteit en mogelijkheden, maar waar niemand mee kan werken, omdat de interface totaal niet is afgestemd op de gebruiker.
In organisaties waar deze kloof is ontstaan, komt IT ook eigenlijk alleen maar om de hoek kijken, als er als gevolg van die kloof een probleem is ontstaan. Spoedjes, pleisters plakken en gebruikersproblemen oplossen dus. In organisaties waar informatiebeveiliging strategisch wordt benaderd, is IT veel van dit soort problemen voor. Een goede invulling verschilt ook weer per organisatie, maar bij succesvolle organisaties zien wij onder meer:
IT als vast onderdeel van het Management Team
IT draagt actief bij aan strategische sessies
IT communiceert frequent en helder hoe uitgevoerde activiteiten passen bij de bedrijfsstrategische doelstellingen
IT parameters (KPI’s ) sluiten aan bij de Business parameters
IT investeringen en veranderingen brengen versnelling in het realiseren van Business goals
Tot slot
Zoals we al stelden in de opening van dit artikel: het is prima eerst reactief aan de gang te gaan met je grootste beveiligingsrisico’s. Zeker als het je inschatting is, dat werken aan beleid te lang gaat duren om een acuut gevaar te voorkomen of op te lossen. Je repareert dus dat ergste lek, terwijl je ondertussen ook tijd steekt in het inspecteren van de dakconstructie. De focus op dat laatste onderdeel, dat zorgt er namelijk voor dat je organisatie er over een aantal jaar óók nog droog bij zit.
Samen kijken naar een strategische benadering van informatiebeveiliging in jouw organisatie? Neem dan contact met ons op!