Ik kom het telkens weer tegen. Een organisatie start een project voor het verbeteren van informatiebeveiliging. Noodzaak kan o.a. liggen in wet en regelgeving, maar ook in verantwoording naar belanghebbenden. Het project wordt samengesteld met informatiebeveiligingsexperts en gaan aan de slag met de opdracht. Er worden prachtige producten opgeleverd. Nieuwe procedures, beleid, technische beveiligingsoplossingen enz. Allemaal om de beveiliging te verbeteren. Maar vrijwel altijd wordt vergeten dat informatiebeveiliging niet te regelen is met regels, beleid en techniek alleen. Informatiebeveiliging is een 'way of life'. Met andere woorden: Hoe mooi de producten ook zijn waarmee de beveiliging wordt verbeterd, als je ze niet goed begeleid, dan zijn ze op termijn waardeloos. Met begeleiden bedoel ik hier het laten ervaren waarom de beveiligingsproducten zo nodig zijn en wat het oplevert voor de organisatie. Pas dan gaat het een onderdeel worden van je manier van werken. En ook dan pas worden de beveiligingsmaatregelen effectief. Dus na het opleveren van de beveiligingsproducten door een project, begint eigenlijk pas het belangrijke werk. Zorgen dat het gaat werken.....
Ik kan me bijvoorbeeld heel goed voorstellen dat een huisarts flink geholpen moet worden bij het effectief maken van beveiliging van zijn systeem om uiteindelijk EDP veilig te krijgen. Wie herkent het niet: Op het computerscherm van de arts staat nog het dossier van de vorige patient. Een huisarts wil namelijk mensen beter maken en zich niet druk maken over beveiligen. Maar hij wil wel, maar weet nog niet hoe. Het zit nog niet in zijn 'systeem'.
Iets technisch beveiligen is heel makkelijk, maar iets effectuef beveiligen is vreselijk moeilijk!
Geen opmerkingen:
Een reactie posten