Column


Column Jeroen Veraart

Informatiebeveiliging: zinloos beleid?

Ken je dat gevoel? Dat je iets moet doen wat je nog nooit eerder hebt gedaan en dat je niet weet waar je moet beginnen? Als je ‘nee’ zegt, geloof ik je niet!
De wereld om ons heen verandert sneller dan we in de gaten hebben. Natuurlijk is het zo ‘dat je nooit te oud bent om te leren’ en dan hoef je niet gelijk een universitaire studie te volgen. Binnen een organisatie veranderen ook continu zaken waarop geanticipeerd moet worden. Als we dat betrekken op informatiebeveiliging dan hoef ik alleen maar te wijzen op die vreselijke cookiemeldingen en het feit dat je tegenwoordig wordt doodgegooid met goedbedoelde adviezen waarop je wel en niet mag klikken. Dat was er een paar jaar geleden nog niet.

Resultaat bestaat
Maar wat las ik een paar weken geleden op NU.nl en Security.nl? ‘Niet eerder werd er zo weinig met internetbankieren gefraudeerd.’ Een spectaculaire daling van fraude met internetbankieren had plaatsgevonden in 2016. Dat neem ik wel altijd met een korreltje zout, want we weten niet wat we niet weten, maar toch. Dit is absoluut het gevolg van de aandacht die er is geweest op phishing e-mail en andere vormen van virussen (malware) die door de criminelen worden verspreid.

Beleid zinvol?
Hoe kun je nu met aandacht voor informatiebeveiliging dit soort verbeteringen doorgevoerd krijgen? De uitdaging is om anders te gaan werken als het gaat om het beveiligen van belangrijke informatie. Ik zeg met opzet ‘belangrijke informatie’ omdat we in deze tijd van big data er niet vanuit moeten gaan dat we altijd alles kunnen beveiligen.

Iedereen die zich nu gaat verdiepen in het geldende informatiebeveiligingsbeleid, gedwongen of uit interesse, zal af en toe denken: “Ja, leuk opgeschreven maar waar moet ik in vredesnaam beginnen?” Dan is mijn advies: begin gewoon, en gebruik je bekende ‘boerenverstand’. Maar stel ook gerust het beleid ter discussie want er is niet één oplossing; het is een kwestie van samenwerking en een gelaagdheid van maatregelen en acties.

Stap voor stap
De eindverantwoordelijke voor het geheel aan maatregelen is zich er echt wel bewust van dat er altijd ruimte is voor een groei in volwassenheid. Maar het gaat erom dat iedereen de eerste stappen zet. Het kan niet zo zijn dat als er wel iets gebeurt, en de organisatie moet een melding doen in het kader van de wet meldplicht datalekken, dat we geen antwoord hebben als er wordt gevraagd: “Wat hebben jullie er tot nu toe aan gedaan?” De wereld om ons heen verandert echt heel erg snel. Het heersende beleid is niet zinloos, maar loopt wellicht per definitie altijd iets achter de feiten aan…


Lees meer over