Verbeterde competentie – de sleutel tot een robuust ISMS

Individuen vormen steeds vaker het kritieke toegangspunt voor en de verdediging tegen informatielekken. Training en bewustwording van medewerkers is essentieel, maar is het voldoende? Organisaties die een managementsysteem voor informatiebeveiliging implementeren, beschermen zichzelf en hun klanten en leveranciers tegen aanvallen. Dat biedt aanzienlijke voordelen.

Op enkele uitzonderingen na worden medewerkers aangenomen op basis van hun vermogen om een bepaalde rol in de organisatie uit te voeren. Sommigen hebben technische vaardigheden die uniek zijn voor het kernproduct of de kerndienst. Anderen beschikken bijvoorbeeld over vaardigheden en capaciteiten voor ondersteunende functies.

Wat hun rol in de organisatie ook mag zijn, het is aannemelijk dat de meeste medewerkers geen formele training hebben ontvangen in het omgaan met informatie-, gegevens- en beveiligingsrisico’s en hoe ze deze kunnen beheersen.

Het is voor organisaties een enorme uitdaging om hun informatie, gegevens en systemen consistent tegen cyberaanvallen te beschermen. Anders dan bij de Algemene verordening gegevensbescherming (AVG), die organisaties verplicht om persoonsgegevens te beschermen, is het beheren van de informatie-, gegevens- en cyberbeveiliging over het algemeen een vrijwillige actie. Toch is de noodzaak steeds urgenter, zowel commercieel gezien als vanuit het oogpunt van bedrijfscontinuïteit.

Menselijke fouten zijn de belangrijkste risicobron

Uit een recent onderzoek van DNV naar het beheer van privacygevoelige informatie bleek dat organisaties vooral menselijke fouten als belangrijkste risicobron aanwezen (44,5%), gevolgd door een gebrek aan bewustwording bij medewerkers of een slechte organisatiecultuur (27,7%). Waar vroeger voornamelijk in technologie werd geïnvesteerd, wordt tegenwoordig meer de nadruk gelegd op training en bewustwording van het personeel. We zien een vergelijkbare situatie bij informatie-, gegevens- en cyberbeveiligingsbeheer. 

Wanneer menselijke fouten en een gebrek aan bewustwording als grote risicofactoren worden beschouwd, betekent dit vaak dat er nog geen effectieve cultuuropbouw heeft plaatsgevonden. Dit kan eenvoudig worden verbeterd door invoering van een formeel model voor kwaliteitsborging in de vorm van een managementsysteem. Omdat er bij iedere organisatie wel sprake is van personeelsverloop, moeten er trainingen voor nieuwe medewerkers worden aangeboden en moet het bestaande personeel met regelmatige tussenpozen opfriscursussen volgen. Dit kan de vorm aannemen van e-learning, korte cursussen of uitgebreidere trainingen voor iedereen die betrokken is bij gegevensbeheer.

Investeringen in IT-beveiliging blijven essentieel, maar omdat mensen toenemend een potentieel zwak punt worden, moeten zij centraal staan in iedere benadering van informatiebeveiliging.

Systemen zorgen voor een betrouwbare aanpak

Er is structuur vereist om alle medewerkers te allen tijde op te leiden op een manier die de organisatie beschermt zonder ze af te leiden van hun dagelijkse taken. In die behoefte kan het beste worden voorzien met een managementsysteem dat is gebaseerd op de best practices uit ISO 27001: de internationale norm voor managementsystemen voor informatiebeveiliging. Deze norm definieert specifieke vereisten voor regelmatige training en bewustwording om een consistent niveau in de hele organisatie te garanderen. Dit vergroot de betrokkenheid en helpt medewerkers te denken in termen van informatiebeveiliging, waardoor ze beter kunnen omgaan met onzekerheid rond risico’s of bedreigingen. We weten uit ervaring dat het implementeren van een managementsysteem organisaties helpt om een beveiligingscultuur op te bouwen en te verbeteren.

Naast de algemene training voor medewerkers zijn er nog andere aspecten die een rol spelen. Essentieel is de aanwezigheid van interne domeinexperts met de juiste opleiding, die kunnen fungeren als aanspreekpunt voor collega’s die vragen hebben. Het is ook belangrijk dat senior managers betrokkenheid tonen en laten zien dat iedereen zich aan dezelfde regels moet houden. Anders kunnen medewerkers zich gaan afvragen waarom van hen wordt verwacht dat ze waakzaam zijn en procedures volgen, terwijl de leiders in de organisatie daarvan zijn vrijgesteld.

De bedrijfskosten van aanvallen op de informatie-, gegevens- en cyberbeveiliging stijgen en slechts weinig organisaties kunnen het zich veroorloven om niet in training te investeren. Een investering in meer competentie is altijd een constructieve aanpak en de te behalen voordelen zijn aanzienlijk. In combinatie met de implementatie van een conform ISO/IEC 27001 gecertificeerd managementsysteem voor informatiebeveiliging is deze aanpak nog robuuster, veerkrachtiger en betrouwbaarder