Ik heb twee lieve dochters. Een hele verantwoordelijkheid! Het liefst help ik ze altijd bij het oversteken. Dan weet ik dat het goed gaat. Maar praktisch onhaalbaar. Daarom heb ik regels voor ze opgesteld. Keurig eerste een risicoanalyse gemaakt en uitgewerkt tot uitvoerbare regels. Zoiets als: "Stop aan de rand van de weg en kijk eerst links, dan rechts en weer links...." enz. Ik heb ze deze regels vertelt en ze gaven aan dat ze het hadden begrepen en ze zouden zich eraan houden. Maar wat schept mijn verbazing. Ze hollen zo achter de bal aan de weg op zonder uit te kijken. Ik overwoog flink boos te worden en te vertellen dat ze zich niet hadden gehouden aan de regels. Maar ik realiseerde me dat ze onbewust onbekwaam waren. Ze snappen niet waarom ik die regels had opgesteld. De risico's werden niet begrepen!
Met dit inzicht heb ik mijn dochters een periode begeleid bij het oversteken en ze bijgebracht welke risico's er zijn wanneer er niet wordt uitgekeken.Dat had effect! Met een gerust hart laat ik ze nu buitenspelen.
Mijn boodschap is dat regels niet werken zonder ze te begeleiden. Dat geldt dus ook voor beveiligingsregels. Hoe vaak zie ik niet dat een prachtig normenkader wordt gemaakt en vervolgens met een e-mail wordt geformaliseerd en gecommuniceerd in de organisatie met de veronderstelling dat het daarmee geimplementeerd wordt.... Ik zou dan het normenkader minder volmaakt maken en de vijgekomen tijd besteden aan het begeleiden van kader. Het effect is vele malen groter dan het hebben van een niet begrepen glossy normenkader.
woensdag 30 maart 2011
donderdag 3 maart 2011
Informatiebeveiliging wordt niet begrepen
Ik kom het telkens weer tegen. Een organisatie start een project voor het verbeteren van informatiebeveiliging. Noodzaak kan o.a. liggen in wet en regelgeving, maar ook in verantwoording naar belanghebbenden. Het project wordt samengesteld met informatiebeveiligingsexperts en gaan aan de slag met de opdracht. Er worden prachtige producten opgeleverd. Nieuwe procedures, beleid, technische beveiligingsoplossingen enz. Allemaal om de beveiliging te verbeteren. Maar vrijwel altijd wordt vergeten dat informatiebeveiliging niet te regelen is met regels, beleid en techniek alleen. Informatiebeveiliging is een 'way of life'. Met andere woorden: Hoe mooi de producten ook zijn waarmee de beveiliging wordt verbeterd, als je ze niet goed begeleid, dan zijn ze op termijn waardeloos. Met begeleiden bedoel ik hier het laten ervaren waarom de beveiligingsproducten zo nodig zijn en wat het oplevert voor de organisatie. Pas dan gaat het een onderdeel worden van je manier van werken. En ook dan pas worden de beveiligingsmaatregelen effectief. Dus na het opleveren van de beveiligingsproducten door een project, begint eigenlijk pas het belangrijke werk. Zorgen dat het gaat werken.....
Ik kan me bijvoorbeeld heel goed voorstellen dat een huisarts flink geholpen moet worden bij het effectief maken van beveiliging van zijn systeem om uiteindelijk EDP veilig te krijgen. Wie herkent het niet: Op het computerscherm van de arts staat nog het dossier van de vorige patient. Een huisarts wil namelijk mensen beter maken en zich niet druk maken over beveiligen. Maar hij wil wel, maar weet nog niet hoe. Het zit nog niet in zijn 'systeem'.
Iets technisch beveiligen is heel makkelijk, maar iets effectuef beveiligen is vreselijk moeilijk!
Ik kan me bijvoorbeeld heel goed voorstellen dat een huisarts flink geholpen moet worden bij het effectief maken van beveiliging van zijn systeem om uiteindelijk EDP veilig te krijgen. Wie herkent het niet: Op het computerscherm van de arts staat nog het dossier van de vorige patient. Een huisarts wil namelijk mensen beter maken en zich niet druk maken over beveiligen. Maar hij wil wel, maar weet nog niet hoe. Het zit nog niet in zijn 'systeem'.
Iets technisch beveiligen is heel makkelijk, maar iets effectuef beveiligen is vreselijk moeilijk!
dinsdag 23 november 2010
Pijn is fijn bij informatiebeveiliging
Er is een verschil tussen moeten voldoen en willen voldoen aan informatiebeveiligingsbeleid. De categorie 'moeten' doet het om daarmee anderen tevreden te stellen zonder te begrijpen waarom eigenlijk. De categorie 'willen' doorziet de noodzaak van informatiebeveiliging en doet het om risico's te beheersen. Bij implementatie van informatiebeveiliging bij de 'willen' categorie is veel minder energie nodig met hogere effectiviteit dan bij de 'moeten' categorie. Een opmerkelijk feit is dat de 'moeten' categorie veelal door de 'willen' categorie wordt aangestuurd. Moeten de willers leren managen of communiceren? Ik denk het niet. De 'willen' categorie voelt pijn bij het niet beheersen van risico's. Deze pijn wordt niet gevoeld bij de 'moeten' categorie. Pijn is waar het om draait. Zorg dat op alle niveau's in de organisatie de juiste pijn gevoeld wordt bij het niet voldoende beheersen van risico's. Deze gedeelde pijn zorgt uiteindelijk voor meer rendement uit investeringen op informatiebeveiliging.
Abonneren op:
Posts (Atom)