Achtergrondartikel


3 vragen aan... Jos Bischoff

‘Bereid je voor op verrassingen’

Jos Bischoff is operationeel directeur van BCT dat is gespecialiseerd in Enterprise Information Management. Hij gelooft niet in het uitsluiten van incidenten. “Je moet continu de bedreigingen in kaart brengen en een eventuele reactie klaar moeten hebben staan.”

Waar lig je wakker van?
“Als ik denk aan security, denk ik aan informatiebeveiliging. Ik lig dan wakker van de vraag wat de impact is van slechte informatiebeveiliging. Wat zijn de gevolgen van een hack of een groot datalek? We kennen immers allemaal verhalen over bedrijven die enorme schade opliepen als gevolg van een datalek. Een dergelijk scenario kan zelfs een faillissement betekenen voor een bedrijf. Om specifiek privacygevoelige persoonsgegevens beter te beschermen, is de AVG in het leven geroepen. De AVG betekent echter ook bestuurlijke aansprakelijkheid. Ook als anderen verantwoordelijk zijn voor privacy- en securitytaken, blijf jij als bestuurder persoonlijk aansprakelijk wanneer er iets misgaat. Daar kan iedere bestuurder wakker van liggen.”

Wat doe je om weer goed te slapen?
“Om toch goed te kunnen slapen, moet je naar mijn mening drie zaken op orde hebben: governance, riskmanagement en compliancy. Governance is de effectieve en kritische aansturing door het management. Riskmanagement is het detecteren en beperken van risico’s. Compliancy is het voldoen aan de wet- en regelgeving. Als bestuurder moet je deze drie zaken aantoonbaar goed geregeld hebben. Dit is vrij complex, maar wordt geconcretiseerd door de ISO 27001:2013-certificering, die betrekking heeft op informatiebeveiliging in brede context. Met deze certificering heb je de volledige informatiebeveiliging van A tot Z op orde. De certificering toont middels regelmatige controle aan dat je juist met informatie omgaat en de risico’s tot een minimum beperkt. Vervolgens is het cruciaal om te weten wat je moet doen als er toch onverhoopt een crisis optreedt. Bereid je voor op verrassingen, hoe gek dat ook klinkt. Dat is de enige manier om goed te kunnen slapen.”

Hoe ziet de securitywereld er over tien jaar uit?
“De wet- en regelgeving zal verder worden aangescherpt. Bedrijven moeten steeds beter aantonen hoe zij met informatie omgaan en hoe zij persoonsgegevens beschermen. Ik denk dat de hoofdlijnen van security hetzelfde blijven. Over tien jaar moet je nog steeds governance, riskmanagement en compliancy op orde hebben. De invulling hiervan, zoals de in te zetten middelen en technologieën, gaat echter wel veranderen. De securitywereld is erop ingericht om de risico’s te minimaliseren, maar je kunt een incident nooit volledig uitsluiten. Je zult daarom continu de bedreigingen in kaart moeten brengen en een eventuele reactie klaar moeten hebben staan. Zorg dus dat je de informatiebeveiliging van je bedrijf optimaal inricht, maar wees altijd voorbereid op een tegenslag.”

Lees meer over