Informatiebeveiliging een technisch ding? Think twice
Vaak wordt gedacht dat informatiebeveiliging een technisch ding is. Je draait ergens aan een paar knoppen en jou overkomt niets meer. Zo eenvoudig is het helaas niet. We schreven er al eerder een blog over: er is altijd een hacker die slimmer is dan jouw beveiliging. Informatiebeveiliging gaat namelijk vooral over mensen. Maar geen zorgen, er is hoop!
123456
Misschien denk je nu: hoezo is informatiebeveiliging geen technisch ding? Je installeert een virusscanner en zet een paar goeie firewalls neer en klaar ben je toch? Helaas, zo werkt het niet. Een niet nader te noemen klant van ons had een ā op zān zachtst gezegd ā niet heel doordacht wachtwoordbeleid. De wachtwoorden hoefden aan geen enkele eis te voldoen en ze hoefden ook nooit vernieuwd te worden. Als je weet dat het meest gebruikte wachtwoord 123456 is, is het niet heel verbazingwekkend dat deze organisatie in no time gehackt was. Dan kunnen wij natuurlijk beveiligen tot we een ons wegen en firewalls tot aan het plafond stapelen, dat gaat je echt niet helpen in de strijd tegen slimme hackers.
Maak er geen oververzekering van
Informatiebeveiliging gaat dus voor een heel groot deel over bewustwording. Dat is dus niet iets dat je bij IT neer kan leggen en klaar is Kees. Informatiebeveiliging is een zaak waar de hele organisatie bij betrokken moet zijn, van management tot de mensen op de werkvloer. Moet je daarom meteen met ISO 27001 aan de slag? Zeker niet. Begin eens met nadenken hoeveel risico je bereid bent te nemen en hoeveel dat je waard is. Wil je drie ton investeren in het voorkomen van beveiligingsincidenten of investeer je één ton in een goed back-up-systeem, zodat je je downtime vermindert? Die beslissing heeft niets met IT te maken, maar alles met risicobeheersing. Ons advies? Maak er geen oververzekering van.
Simpel op weg
Wil je toch met je beveiliging aan de slag, dan hoeft dat niet meteen ISO 27001 te zijn. Als Epesi hebben we er wel bewust voor gekozen om voor deze normering te gaan. Maar als innovatiefabriek die slimme tools maakt die bedrijfsprocessen ondersteunen, heb je weinig keuze. Informatiebeveiliging zit verweven in de doelstellingen van ons bedrijf en dat gaat verder dan een plaatje op de gevel. Maar dat is niet voor elke organisatie weggelegd. Dat wil niet zeggen dat je niets kunt doen. Wij kunnen je praktische handreikingen bieden om heel eenvoudig de eerste stappen te zetten op het gebied van informatiebeveiliging. Dat kan gaan om een awarenesstraining, of het kan iets simpels zijn als een beveiligingsincidentenformulier of een authenticatiematrix. Besluit je dan in een later stadium alsnog je certificering te halen, ben je in ieder geval al een stukje op weg!
Meer weten?
Wil je zelf met ISO aan de gang of wil je gewoon wat praktische handreikingen om zelf met je beveiliging aan de gang te gaan? Wil je weten hoe het staat met de bewustwording van jouw medewerkers? Neem gerust contact met ons op via bart@epesi.nl of bel naar 0118-613220. We leren je graag kennen.