Je bedrijf heeft informatiebeveiliging niet op orde

De directie vindt het niet zo belangrijk (het gaat toch prima zo?).
De mensen op de werkvloer hebben geen idee wat de regels zijn en welke risico`s ze onbewust nemen (hoezo mag ik geen cliëntgegevens via Whatsapp versturen?).
Jij wilt wel, maar tijd is een ding en bovendien heb je eigenlijk geen idee waar te beginnen.
Tot die ene dag dat iemand…:

• Zijn laptop of tas met papieren vol persoonlijke informatie in zijn auto laat liggen en die gestolen wordt.
• Een PC doorverkoopt die niet goed opgeschoond is.
• Via de wifi in de lobby op jullie bedrijfsnetwerk inlogt en allerlei gegevens steelt of gijzelt.
• In plaats van zijn eigen bestelbevestiging, inclusief betaalgegevens, die van iemand anders gestuurd krijgt.
• Door onvoldoende controleprocessen de verkeerde medicatie in iemands zorgdossier zet of zelfs aan de patiënt toedient.
• Die in je organisatie werkt, maar er niks te zoeken heeft lekker in de gegevens van (bekende) patiënten neust en die vervolgens met zijn vrienden deelt.

En dat zijn maar enkele voorbeelden.
Maar wel met mogelijk grote gevolgen.

OEPS!

Want met die gestolen persoonsgegevens kan gefraudeerd worden.
Want door onjuiste gegevens in dossiers kan iemand verkeerde medicatie krijgen en daardoor nog zieker raken.
Want door persoonlijke informatie openbaar te maken kan het imago van die persoon ernstig geschaad worden.
Want door de bron van die informatie/ fout te zijn raakt het imago van jouw bedrijf ernstig geschaad.
En dan hebben we het nog eens over de kosten die je moet maken om alles weer op te lossen.

De reden dat het niet geregeld is, is vaak vrij simpel en komt vaker voor dan je denkt:

• Je bent in naam verantwoordelijk voor informatiebeveiliging binnen jullie bedrijf, maar mist kennis en vaardigheden. Je wilt heel graag, maar weet gewoon niet waar je moet beginnen. En je vreest tegelijkertijd het moment dat het heel erg mis gaat; boze klanten, de directie die het jou kwalijk neemt, de AP op je dak.
• Of je bent er in naam verantwoordelijk voor, maar wordt geleid door de waan van de dag. Omdat er al zoveel op je bordje ligt, waardoor je er gewoonweg niet aan toe komt. Je weet dat je eigenlijk eens zou moeten gaan zitten met die collega van IT, maar wanneer in hemelsnaam? En die heeft ook geen (priori)tijd. En wie moet er nog meer bij aangesloten worden? En waar moeten jullie beginnen? En hoe krijg je iedereen zover dat ze hun tijd investeren? En dat gesprek is één. Maar hoeveel (achterstallig) werk komt er uiteindelijk bovendrijven? En wie gaat dat doen? Waardoor het er uiteindelijk helemaal niet van komt.
• Er zijn geen processen om de beveiliging te borgen, waardoor de werknemers maar wat doen. En omdat verreweg de meesten van hen geen idee hebben van zowel de regelgeving rondom informatiebeveiliging als de risico`s, gebeuren er regelmatig 'oeps'-momentjes. Maar hoelang duurt het tot het geen kleine 'oeps', maar een hele grote 'oeps' wordt en er serieuze schade ontstaat? Schade aan mensen, schade aan imago`s en niet te vergeten een enorme kostenpost.
• Er is alleen techniek ingericht, maar niet nagedacht over de strategie en tactiek, waardoor de techniek niet werkbaar is voor de mensen op de werkvloer. Het gevolg? De techniek wordt niet gebruikt maar juist omzeild met alle risico`s van dien. Prints van dossiers die vervolgens op een printer blijven liggen, patiëntinformatie met elkaar delen via Whatsapp, dossiers die mee naar huis genomen worden en daar in het zicht liggen van kinderen, vriendjes, familieleden etc.

VOORKOMEN IS BETER DAN…

Verreweg de meeste van deze situaties kunnen makkelijk voorkomen worden. Door na te denken over de risico`s die je organisatie loopt, door te bepalen welke maatregelen je al genomen hebt en welke nog missen, door duidelijke en werkbare processen uit te werken en vervolgens te implementeren. En dat te controleren. En daarmee (aantoonbaar!) te beheersen.
Al die stappen, compleet met heldere uitleg vind je in mijn boek 'Grip op informatiebeveiliging'.

Dit boek is speciaal voor (startende) Informatiebeveiligers of informatiebeveiligers die dit onderwerp stapsgewijs binnen hun (nieuwe) organisatie uit willen rollen. Maar ook voor managers (en directie) die keuzes moeten maken op alle voorstellen die gedaan worden. Zodat iedereen (inclusief die directie) het nut van het gekozen voorstel inziet. Zodat iedereen mee wil denken en mee wil werken. Zodat het plan ook werkbaar is en dus gebruikt wordt.
Natuurlijk besteed ik aandacht aan technische maatregelen, maar dit boek legt veel meer de nadruk op de menselijke kant: Wie is Waarom Waar precies Verantwoordelijk voor (en doet dat ook graag omdat ze snappen dat het belangrijk is).

DIT HAAL JE UIT HET BOEK

Naast duidelijkheid en rust in de tent garandeer ik je na het toepassen van dit boek:

• Dat de kans op datalekken en hacks geminimaliseerd is, waardoor je je geen zorgen hoeft te maken over gechanteerd worden, dat jouw klantgegevens online verkocht worden etc.
• Dat je een stuk minder gedoe hebt met ICT, omdat de kans op niet functionerende computers, programma`s, mail etc zo klein mogelijk is en mensen dus gewoon hun werk kunnen doen.
• Dat je klanten tevredener zijn, omdat de informatie die ze van je krijgen van hen is én klopt.
• Dat je directie overtuigd is van het nut van informatiebeveiliging, waardoor jij tijd en budget krijgt om het goed op orde te krijgen en te houden.