Informatiebeveiligingsbeleid; de toegevoegde waarde

Zoals bekend heeft Expansion de afgelopen jaren veel geïnvesteerd in informatiebeveiliging.

Vanwege de aard van onze activiteiten (digitaal duurzaam archiveren) stond het onderwerp natuurlijk altijd al centraal. De laatste jaren zijn we ons meer gaan richten op het standaardiseren en controleerbaar maken van het beleid en de maatregelen.

Dit leidde in 2015 tot onze ISO-27001 certificering. En onlangs verkregen we de felbegeerde ISAE 3402 Type II verklaring.

Awareness

In onze organisatie passen we 160 beheersmaatregelen toe op het gebied van informatiebeveiliging.

Een van die maatregelen betreft het organiseren van zogenaamde ‘awareness’-sessies. Dit zijn periodieke bijeenkomsten voor al onze medewerkers om het bewustzijn op het gebied van informatiebeveiliging op hoog niveau te houden.

De sessies hebben enerzijds een informatief karakter. Er worden relevante ontwikkelingen gedeeld zoals nieuwe vormen van cybercriminaliteit, datalekken, fouten die zijn gemaakt in beveiliging. Hiermee behouden medewerkers hun scherpte in de omgang van met informatie van onze klanten. Anderzijds zijn de sessies ook bedoeld om informatie op te halen: wat ervaren we in onze dagelijkse werkzaamheden? Ons streven is om continu te verbeteren.

Informatiebeveiliging in de praktijk

Tijdens een van de laatste sessies organiseerden onze security officers een online enquête. Medewerkers werd gevraagd hun ervaring met het informatiebeveiligingsbeleid van Expansion te ranken:

  • Mate van toegevoegde waarde
  • Mate van inspanning

Het was goed om te merken dat alle medewerkers de toegevoegde waarde als hoog ervaren.

De gepercipieerde inspanning varieerde nogal. Dit was sterk afhankelijk van de mate van betrokkenheid bij de implementatie van ISO -27001 en ISAE 3402 en de audits.

Met name het feit dat iedereen de toegevoegde waarde van het beleid ziet is een mooi resultaat. De wat meer geformaliseerde werkwijze leidde in het begin best wel tot wat weerstand. Dat zat voornamelijk in de geïntroduceerde autorisatieprocessen. Changes moeten nu eerst formeel goedgekeurd worden voordat ze uitgevoerd mogen worden. Veel medewerkers van Expansion waren in het begin bang dat dit zou leiden tot inflexibiliteit bij projectuitvoering. Of tot een verminderde service voor klanten. De resultaten uit de enquête laten zien dat op dit moment niemand deze nadelen ervaart.

Geen doel op zich

Iedereen is zich inmiddels bewust van het feit dat ISO-27001 en ISAE 3402 geen doelen zijn, maar middelen om informatiebeveiliging op het hoogste niveau te houden. Alle maatregelen dienen een concreet doel, namelijk om zo veilig mogelijk om te gaan met de gegevens van onze klanten. Controles op de realisatie van wijzigingen zijn hierin cruciaal. Het is wel van belang om klanten mee te nemen in ons beleid. Bij alle werkzaamheden moeten we expliciet communiceren welke stappen er genomen worden en welke procedures er worden toegepast. Klanten zullen zodoende inzien dat het beleid ook hun doelen dient.

Voorbereiding is alles

Onze medewerkers hebben ook ervaren dat een goede voorbereiding op projecten nog belangrijker is geworden. Alle impact van changes moet op voorhand goed in kaart worden gebracht, zodat je gedurende een project niet wordt geconfronteerd met onvoorziene autorisaties. In dat geval lijkt het autorisatieproces de vertragende factor te zijn, maar is dit in feite de gebrekkige voorbereiding. 

Klantbelang

De implementatie van ISO-27001 en ISAE 3402 Type II heeft veel impact op onze organisatie gehad. Een tijd lang lag de nadruk op het introduceren en naleven van regels. Het gevaar ligt dan op de loer dat niet duidelijk wat belangrijker is: de Klant of de Procedure? Geruststellend om te zien dat dit in onze organisatie geen kwestie meer is. De procedures dienen heel duidelijk het klantbelang.

Meer weten? Bekijk onze pagina over informatiebeveiliging.

Voor vragen of meer informatie over dit onderwerp neem gerust contact met mij op of vul het contactformulier in zodat wij jou van de gewenste informatie kunnen voorzien. 

 

wim

Wim M.G.J. Vis

Commercieel directeur

Vraag nu meer informatie aan!

Binnen één dag ontvangt u vrijblijvend onze Xtendis-folder.