Weg met de oneindige checklists: zo ontwikkel je een beleid voor informatiebeveiliging

13 december 2024

Bijna wekelijks zijn er krantenartikelen te vinden over rampzalige datalekken en hacks bij (grote) Belgische bedrijven. Het moge dus wel duidelijk zijn dat een securitybeleid anno 2024 onmisbaar is. Veel bedrijven hebben al wel zo’n beleid, maar dat is vaak een mengelmoes van checklists met regels die niet voldoende in de praktijk getoetst zijn. En dat is zonde. Een goed securitybeleid zou medewerkers namelijk een simpele routekaart moeten bieden, die hen duidelijk maakt wat zij moeten doen of welke expert zij moeten benaderen als er incidenten zijn. Hoe je zo’n beleid opstelt? Dat vertel ik in deze blog. Maar eerst: wat gaat er nu eigenlijk fout? 

Droog en verwarrend

Vaak is een securitybeleid gebaseerd op standaardsjablonen en staan ze vol met juridische en technische termen. Daarom lezen medewerkers het niet goed door, en halen er al helemaal geen relevante informatie uit. Ook zie je dat bij bijvoorbeeld fusies of overnames beleidsdocumenten onzorgvuldig worden samengevoegd, waardoor het lastig voor medewerkers is om normen, regels en wetten omtrent security te volgen.

Maar wat moet er dan wel in jouw handboek voor het securitybeleid staan? Het document moet in ieder geval de aanpak van security- en governance-processen voor medewerkers uiteenzetten. Verder is het belangrijk dat het ook besluitvormers tools biedt voor het voorlichten van medewerkers, het delen van informatie en het uitvoeren van escalatieplannen. Hier zijn de drie belangrijkste tips voor het ontwikkelingen van een securitybeleid:

  1. Wees praktisch – Bij het ontwikkelen van een goed securitybeleid is het allereerst essentieel om praktisch te zijn. Zo is het meenemen van kwaliteits- en beveiligingsnormen belangrijk, maar het securitybeleid is niet slechts bedoeld om te laten zien dat de organisatie hieraan voldoet. Het beleid moet juist waarde bieden aan de medewerkers. Geef dan ook duidelijke richtlijnen, processen en procedures mee in het beleid. En maak dit duidelijk en praktisch toepasbaar door stappen te definiëren die makkelijk te volgen zijn, niet teveel tijd kosten en het werk van personeel niet in de weg zitten.
  2. Deel het op – Daarnaast is het belangrijk om te beseffen dat een universele aanpak niet zal werken voor een securitybeleid. Binnen een organisatie zijn er namelijk uiteenlopende kennisniveaus en specialisatiegebieden. Voor niet iedereen is dus dezelfde informatie relevant. Schrijf het securitybeleid dan ook met de menselijke factor in het achterhoofd: deel beleidsregels op in verschillende secties voor collega’s in verschillende functies en houd de documentatie doorzoekbaar. Zo wordt het securitybeleid er veel vaker bij gepakt!
  3. Laat de documentatie leven – Als laatste is het belangrijk om te realiseren dat een securitybeleid nooit helemaal klaar is. Zo moet het bij wijzigingen in de wet- en regelgeving op alle relevante punten worden bijgewerkt – denk bijvoorbeeld aan nieuwe beleidsregels en richtlijnen voor het gebruik van AI. Blijf dus altijd op de hoogte van de wetswijzigingen, zodat deze makkelijk en snel in het securitybeleid verwerkt kunnen worden en de medewerkers snel up-to-date zijn.

Een waardevolle aanvulling

As je het securitybeleid niet beschouwt als een vervelende huishoudelijke taak, ontdek je dat het in werkelijkheid een wapen is om je van de concurrentie te onderscheiden. Een goed securitybeleid biedt medewerkers namelijk waardevolle tools in het geval van incidenten en waarborgt de kwaliteit binnen het bedrijf. En als het securitybeleid duidelijk, praktisch, doorzoekbaar en altijd up-to-date is, pakken jouw medewerkers het er ook echt bij. Misschien wordt het dus tijd om dat document onder het stof vandaan te halen en er met een frisse blik naar te kijken!

Tom Ascroft

Tom Ascroft

Tom Ascroft is chief information security officer bij Unit4

Pin It on Pinterest

Share This