Informatiebeveiliging: kostenpost of noodzaak?

Bijna een retorische vraag: Is informatiebeveiliging een kostenpost of noodzaak? Wij zijn van mening dat informatiebeveiliging noodzakelijk is. Echter, wij zijn niet objectief bij het stellen van deze vraag. Wij bieden immers diensten aan op het gebied van informatiebeveiliging, zoals advies op weg naar een ISO 27001 certificering of juist het opzetten van een managementsysteem voor informatiebeveiliging.  

Dat gezegd hebbende: volgens ons is een goed beleid voor informatiebeveiliging voor steeds meer bedrijven puur noodzaak. Denk alleen maar aan de wet- en regelgeving die strenger wordt, zoals de meldplicht datalekken.

Beginnen bij het begin: de beslissing om ‘aan informatiebeveiliging te doen’ is een beleidsbeslissing. Beleid wordt gemaakt op strategisch niveau. Door de directie dus. De ISO 27001 norm voor informatiebeveiliging geeft in hoofdstuk 5 eisen voor het vaststellen van het informatiebeveiligingsbeleid. Dit moet passend zijn voor het doel van de organisatie, doelstellingen bevatten, een verbintenis bevatten om te voldoen aan de eisen voor informatiebeveiliging en een verbintenis voor continue verbetering van het managementsysteem voor informatiebeveiliging.

Een mond vol. In Jip en Janneke taal moet de directie een informatiebeveiligingsbeleid vaststellen dat past bij het bedrijf. Er moeten doelstellingen in omschreven zijn en er moet in staan dat het bedrijf wil voldoen aan de eisen voor informatiebeveiliging en zich continue wil verbeteren. Dit beleid moet ook beschikbaar zijn als gedocumenteerde informatie en worden gecommuniceerd aan de mensen binnen de organisatie. In de praktijk wordt dit vaak vastgelegd in het managementsysteem. Jij mag daarin een beleid vaststellen dat past bij je bedrijf. Best prettig, want er bestaan nog steeds mensen die geloven dat de ISO norm even voorschrijft hoe je moet gaan werken. Een grotere misvatting is er niet.

Om heel eerlijk te zijn: voor ons is het niet meer dan logisch dat een bedrijf zijn informatie beveiligd. Welke ondernemer wil nou dat een kwaadwillende persoon toegang heeft tot belangrijke informatie in zijn bedrijf? Wij moeten de eerste nog tegenkomen. Bovendien is het zeker tegenwoordig van belang om te zorgen dat gevoelige informatie veilig is. Vrijwel alle informatie is digitaal beschikbaar. Maar hoe vaak horen we niet dat er weer een bedrijf gehackt is? Ook in het MKB. Sterker nog, juist in het MKB! Dat blijkt uit een onderzoek van Interpolis en Capgemini.

Belangrijk is dat het beleid en de maatregelen die daaruit voortvloeien, passen bij het bedrijf! Een verhuisbedrijf zal een minder streng beleid voeren dan een ziekenhuis. Logisch dus dat de maatregelen die doorgevoerd worden voor het ziekenhuis ingrijpender zijn dan voor het verhuisbedrijf.

Wat is informatiebeveiliging in de zorg? Conclusie: Informatiebeveiliging in de zorg is een ‘dingetje’. Daarom is er een speciale norm voor informatiebeveiliging in de zorg sector. Dit is de NEN 7510 norm. Deze norm heeft een grote overlap met de ISO 27001 norm, maar is specifiek gericht op bijvoorbeeld patiëntendossiers. De doelstellingen en beveiligingsmaatregelen wijken daarom ook af van de ISO 27001.

Vanzelfsprekend stelt het management van iedere organisatie zich de vraag of de kosten opwegen tegen de baten. Hoewel voor een aantal organisaties ISO 27001 certificering onontkoombaar is, zit er nogal een verschil in de kosten en aanpak van de verschillende consultancy bureaus en certificerende instanties. En dan zijn er nog de bedrijven die wel een informatiebeveiligingsbeleid hebben en ook maatregelen willen implementeren, maar niet het certificaat willen behalen.

Het geldt voor ieder bedrijf op ieder gebied: maak een verantwoorde keuze. Een keuze die bij de organisatie past. Wordt er nooit gevraagd om een ISO 27001 certificering? Dan is het onnodig kosten maken wanneer er toch gecertificeerd gaat worden. Betekent dat automatisch dat er niet aan informatiebeveiliging moet worden gedaan? Nee, uiteraard niet. Een managementsysteem voor informatiebeveiliging is voor heel veel organisaties nuttig. Het certificaat wordt met name behaald vanuit de commerciële gedachte.

Hoewel voor iedere organisatie de kosten voor ISO 27001 certificering verschillend zijn, kan je wellicht zelf een inschatting maken. De hoeveelheid en met name de impact van de maatregelen die je moet treffen, worden namelijk bepaald door de risicoanalyse. Deze analyse doe je in het traject gezamenlijk met de consultant. Maar bedenk bij jezelf welke risico’s op je activiteiten van toepassing zijn en bedenk wat voor maatregelen hiervoor getroffen moeten worden. Dan heb je al een beeld van de benodigde tijdsbesteding. Vervolgens is de investering in de consultant afhankelijk van de hoeveelheid werk dat je wilt uitbesteden en wat je zelf wilt gaan oppakken.

Iedere organisatie is uniek. Heeft unieke risico’s die de impact van de informatiebeveiliging bepalen. Iedere organisatie heeft daarom ook een unieke aanpak nodig. Een logische conclusie is dus dat een ISO 27001 certificering altijd een maatwerktraject is. Ben je op zoek naar een ISO 27001 consultancy bureau? Ga dan altijd in gesprek over de aanpak. De impact en de kosten kunnen pas bepaald worden na een gedegen analyse van de huidige situatie en risico’s. Bepaal ook of de consultant die het uitvoerende werk zal doen bij de organisatie past. Uiteindelijk is een goed gevoel erg belangrijk.

Wil je na het lezen van deze informatie, meer weten? Neem dan gerust contact met ons op. Wij helpen je graag op weg!