Klanten, overheden, burgers en andere stakeholders stellen hoge eisen aan de manier waarop organisaties met informatie omgaan. Informatie is zo cruciaal in de nieuwe economie, dat goede informatiebeveiliging net zo belangrijk is geworden als de levering van goede producten en diensten. Sterker, informatie is niet een apart onderwerp of een thema voor erbij, maar is integraal onderdeel in de procesbeheersing en van de kwaliteit van de producten en diensten, die uw organisatie levert. Het is een license to operate geworden.

Dat de informatie overal rondgaat, is geen nieuws. Wat wel nieuw is, is het bewustzijn en de vraag hoe met informatie wordt omgegaan. Bijvoorbeeld: De directeur stuurt de begroting voor het komende jaar naar zijn vijf managementleden. Dan zit die informatie in de verzonden items van de directeur en in de inbox van iedere manager. Samen met de oorspronkelijke plek van die file op de server ligt deze informatie nu op zeven plekken. Als twee managers het prettig vinden om het document thuis te bestuderen en ze sturen de file door naar hun privé account, dan komen er nog twee locatie bij, plus het feit dat de informatie nu buiten het bereik van de organisatie is geraakt.

Wat is de analyse van deze situatie? Is het erg dat die informatie wordt verspreid? Hoe cruciaal is de informatie c.q. welke waarde heeft het voor de organisatie en voor concurrenten? Kan ook de secretaresse in de mailboxen van de directie en managers? Zo zijn er allerlei vragen te stellen. Als reactie op dergelijke situaties ontstaan vaak protocollen, die voorschrijven wat wel per mail mag worden gestuurd en wat niet. Veel eenvoudiger is het natuurlijk als de directeur in zijn mail verwijst naar de plek op de server waar het document gelezen kan worden. Maar dan is er weer de vraag waar die server staat? In het gebouw? In de cloud?

Maak van informatiebeveiliging een USP voor uw organisatie:

  1. Beoordeel de omgeving en de stakeholders in relatie tot informatie
  2. Evalueer de IT infrastructuur en het gedrag van medewerkers
  3. Evalueer de juridische context
  4. Classificeer informatie
  5. Beoordeel de beschikbaarheid van informatie
  6. Werk toe naar certificatie voor ISO 27001

1. Beoordeel de omgeving en de stakeholders in relatie tot informatie

De eis om informatie zorgvuldig op te slaan en te bewaren komt vaak in eerste instantie van stakeholders. Klanten verwachten dat leveranciers informatie vertrouwelijk behandelen, medewerkers verwachten dat persoonsgegevens veilig bij de HR afdeling liggen en de organisatie zelf wil na een calamiteit, zoals brand of diefstal. weer snel operationeel zijn. Nooit eerder was de omgeving zo kritisch richting leveranciers over de wijze waarop informatie is beveiligd. Het is zelfs een unique selling point geworden. Klanten doen tegenwoordig leveranciersaudits specifiek gericht op de beveiliging van informatie. Tip: Nodig klanten uit voor een leveranciersaudit of vraag hen naar hun eisen. De vraag stellen is al onderscheidend.

2. Evalueer de IT infrastructuur en het gedrag van medewerkers

Genoeg redenen om processen onder de loep te nemen en de kwaliteit te beoordelen. De uitkomsten worden gebruikt om verbeteringen door te voeren en klanten te informeren over de verbeteringen. Zo’n onderzoek wordt per processtap uitgevoerd. Informatie komt namelijk in alle processtappen voor. Verkopers beschikken over klantinformatie, HR over personeelsinformatie, productie over technische tekeningen en softwareontwikkelaars over testdata van klanten. Informatie kan beschikbaar worden gesteld via ERP of CRM systemen, maar ook via een dropbox, USB drive of Google Drive. IT speelt een belangrijke rol, maar de medewerkers nog meer. Medewerkers kopiëren files naar laptops, naar persoonlijke e-mail accounts of eigen memory sticks. Maak een evaluatie van de processtappen, maar beperk dat onderzoek niet tot firewalls en router protocollen. Er zijn veel meer lekken in een organisatie. Tip: Voer interne audits uit op de aanwezigheid van informatie in processen.

3. Evalueer de juridische context

Vervolgens is de juridische context relevant. Algemene voorwaarden, overeenkomsten van opdracht, geheimhoudingsverklaringen en bedrijfsreglementen zijn officiële documenten, die een juridische betekenis hebben. Overtredingen van gemaakte afspraken kunnen verstrekkende gevolgen hebben. Een goede evaluatie zorgt voor zuiverheid en gemeenschappelijk inzicht over de status van informatie en de verantwoordelijkheid van de functionaris die met die informatie omgaat. Hier wordt gemiddeld te makkelijk aan voorbij gegaan. Bijvoorbeeld, medewerkers hebben vaak geheimhoudingsverklaringen in hun arbeidscontract en ook in de overeenkomst van opdracht met een klant zijn geheimhoudingsbepalingen opgenomen. Een medewerker kan daardoor niet zomaar data delen met derden of een verhaal vertellen op een verjaardag. Ook geschreven teksten in e-mails of op sociale media kunnen forse gevolgen hebben als ze verkeerd terecht komen. Tip: Beoordeel officiële documenten en voer audits uit ten aanzien van de naleving door medewerkers en leidinggevende.

4. Classificeer informatie

Dan volgt de classificatie van de informatie. Niet alle informatie is geheim of gevoelig. Adresgegevens van klanten zijn misschien niet heel bijzonder, maar tekeningen van innovaties wel. Bepaal per processtap welke informatie beschikbaar moet zijn om een medewerker het reguliere, operationele werk uit te laten voeren. Als dat bekend is, kan die informatie worden geclassificeerd. Klasse I informatie hoeft niet te worden beveiligd. Klasse II informatie wel en Klasse III mag niet in verkeerde handen terecht komen. Tip: Definieer in eerste instantie drie Klassen en specificeer veiligheidsmaatregelen per klasse.

5. Beoordeel de beschikbaarheid van informatie

Een accountmanager moet een offerte kunnen maken, een managers een functioneringsgesprek kunnen voeren en een directeur moet financiële informatie hebben. Het klinkt zo logisch en dat is het ook, maar de vraag is op welke manier die informatie beschikbaar wordt gesteld. We hebben een klant waar bepaalde informatie alleen op papier beschikbaar wordt gesteld in een kluis voor een beperkt aantal medewerkers. Er zijn daarentegen ook kanten waar medewerkers vol trots foto’s maken op hun privé telefoon van het werk dat ze hebben gemaakt. Wat we met deze voorbeelden duidelijk willen maken, is dat in ERP systemen natuurlijk allerlei niveaus van toegang en veiligheid is geregeld, maar dat eenvoudige work arounds tot onaangename verrassingen kunnen leiden. Denk aan het schrijven op social media over een klantbezoek. Tip: zorg dat per processtap duidelijk wordt gemaakt hoe wordt gewerkt en welke informatie maximaal nodig is.

6. Werk toe naar certificatie voor ISO 27001

Als alle voorgaande stappen zijn doorlopen en er is gewerkt aan de borging van informatie in processen, dan voldoet uw organisatie al voor een groot deel aan de kwaliteitsmanagementnorm ISO 27001. Met nog enkele extra maatregelen, zoals deze in ISO 9001 zijn opgenomen, komt certificatie in de buurt en kan procesmanagement worden geïmplementeerd.


Deze bijdrage verscheen eerder op https://www.patagonia-bv.com/blog/informatiebeveiliging-is-een-license-to-operate/