Overzicht
Actueel
20 December 2018
Awareways Detachering: het eerste halfjaar

Er wordt steeds meer geïnvesteerd in informatieveiligheid, maar de mens is nog altijd de zwakste schakel in de beveiligingsketen. Technologie wordt niet op een veilige manier gebruikt, men is zich onvoldoende bewust van de kwetsbaarheid van informatie en de juiste gedragsverandering is een serieuze uitdaging. Awareways Detachering, gelanceerd in het voorjaar van 2018, is de volgende stap in informatieveiligheid. Nu we inmiddels een half jaar aan de slag zijn, maken we samen met directeur Bas de Groot de balans op.

Visie en aanpak

“In de basis zien we twee ontwikkelingen”, legt Bas uit. “Ten eerste is er de rol van Informatieveiligheid in het algemeen, waarbij de gehele organisatie moet kijken hoe er met gegevens wordt omgegaan. Dat vraagt naast de aandacht van het IT-team en het management om samenwerking tussen alle afdelingen in het gehele bedrijf. ”Je ziet het overal, van de kleine mkb’ers tot de grote multinationals, maar ook bij overheidsinstanties. Verregaande automatisering maakt ons erg afhankelijk van IT, maar dat besef en de invloed op de dagelijkse werkzaamheden is (nog) niet (altijd) vanzelfsprekend.

‘Een goede informatieveiligheid is niet alleen noodzakelijk, maar biedt ook kansen. Dat vraagt veel van de interne capaciteit en is in de meeste gevallen bovendien afdelingsoverstijgend.’ Lees ook de Visie & Aanpak van Awareways Detachering.

AVG

“Daarnaast zien we een belangrijke focus op de AVG, de Europese privacywetgeving die in mei 2018 van kracht werd. Veel organisaties doen er alles aan om de praktische zaken op orde te krijgen. Denk aan het in kaart brengen van datastromen en het terugbrengen van al die gegevens tot alleen het noodzakelijke. Welke informatie heb je, mag je die hebben, en op welke grond mag je die hebben? Waar sla je ze op en wat doe je ermee?”

Informatieveiligheid vanuit de AVG is een privacykwestie geworden, die organisaties voor een serieuze uitdaging stelt, waarin een deel van de verantwoordelijkheden helaas nog blijft liggen. “We zien bijvoorbeeld dat een verwerkingsregister nog niet aan de regels voldoet of niet compleet meer is, procedures omtrent datalekken ontbreken, of dat er nog onvoldoende inzichtelijk is welke datastromen er zijn. Daarin kan Awareways Detachering de helpende hand bieden. We zien dat organisaties er zeker wel aandacht aan schenken, maar in de uitvoering vaak handen tekort komen. Het blijkt toch een ondergeschoven kindje.”

Security Awareness

Organisaties hoef je steeds minder vaak te vertellen wat er speelt en wat er noodzakelijk is. CISO’s en ISO’s hebben het allemaal wel door en het besef is doorgedrongen dat informatieveiligheid door de gehele organisatie gedragen moet worden. Het is de dagelijkse capaciteit waar de schoen wringt.

“Dat is een duidelijk verschil met het beeld van een paar jaar geleden. De awareness is er wel, maar de capaciteit, kennis of aanpak om vervolgens de juiste stappen te zetten en het informatieveiligheidsbeleid goed in te richten ontbreekt vaak nog. Dat is precies waar onze Young Professionals hun rol hebben.”

‘Een Awareways-gedetacheerde ziet het grote plaatje, reikt passende maatregelen aan én zorgt voor de juiste implementatie, met als doel structurele cohesie tussen de afdelingen en een duurzaam informatieveiligheidsplan voor de lange termijn.’

In het veld

“Organisaties komen zelf ook met verzoeken. Ze willen bijvoorbeeld een Data Protection Impact Assessment laten uitvoeren, of het informatieveiligheidsbeleid laten reviewen, een verwerkingsregister op laten zetten, of juist werk maken van een ISO-certificering op het gebied van Informatieveiligheidsbeleid. We zien nu meer en meer dat professionele organisaties bij hún leveranciers met de vraag komen: ‘hoe zit het met jullie informatieveiligheidsbeleid?’. We zeggen al langer dat de verantwoordelijkheid die bedrijven daarin nemen dé business case van nu vormt, met cybersecurity als het nieuwe duurzaam. Vanuit de markt zien we dat organisaties die verantwoordelijkheid steeds meer opeisen.”

Bij veel bedrijven komt uit een audit naar voren dat diverse processen niet volledig op orde zijn. “Vooral de ‘aantoonbaarheid’ blijkt een lastig punt: administratief kunnen overleggen dat de procedures van het informatieveiligheidsbeleid daadwerkelijk worden uitgevoerd en vastgelegd zijn. Je moet namelijk ook bewijzen dat je doet wat je zegt.”

Wil je meer weten over onze visie of aanpak, of benieuwd naar andere informatie? Neem dan contact op met Arthur Timmerman.
Neem contact op
Informatiebeveiligingsbeleid

“Het is daarom van belang om binnen een informatieveiligheidsbeleid processen opnieuw na te lopen. We raken zo gewend om bepaalde taken op een bepaalde manier uit te voeren, dat we er niet bij stilstaan of die handelingen wel in de huidige regels passen. Standaard processen blijken, bijvoorbeeld door de implicaties van de AVG, niet meer up-to-date te zijn. Bijvoorbeeld het bijhouden van een verwerkingsregister, of de procedures voor een HR-afdeling bij de in- en uitstroom van nieuwe collega’s. Wie kan er bij welke data en hoe wordt die toegang automatisch weer beëindigd?”

“Ook dat laatste hoort bij onze taak. Natuurlijk bekijken we wat de organisatie wil, wat daarvoor moet gebeuren en hoe we daar samen mee aan de slag kunnen. Maar daar hoort die extra stap natuurlijk nog bij: hoe laten we zien dat we dat doen? Daarom bieden we een informatieveiligheidsbeleid waarin de aantoonbaarheid een belangrijke rol heeft.”

Lees meer over de mogelijkheden van Awareways Detachering op awarewaysdetachering.nl.

Kijk ook eens naar

Praktijkvoorbeelden
Een overzicht van onze praktijkvoorbeelden.
Security Awareness Engine
De spil in jouw security awareness programma.
Nulmeting
Awareness in cijfers het kan echt.