Informatiebeveiliging – ook wel information security – is hot. En niet omdat we het nu zo leuk vinden, maar omdat we steeds vaker horen van incidenten op dat gebied. In deze serie artikelen over informatiebeveiliging praten we u bij over een gestructureerde en blijvende aanpak. In het eerste deel van deze serie bespraken we het waarom van informatiebeveiliging en waarom investeren in informatiebeveiliging loont. In dit deel gaan we in op de stappen die nodig zijn om richting te geven aan een goede aanpak: het assessment.
De ene organisatie is de andere niet. Ondanks dat woningcorporaties eenzelfde taak en functie hebben, zijn er toch verschillen. Hoewel corporaties in grote lijnen dezelfde activiteiten verrichten, zijn er onderling verschillen. Denk alleen al aan geografische ligging, omvang, één of meerdere vestigingen en het al dan niet uitbesteden van IT en gebruik van de Cloud. Ook is de ene organisatie (soms onbewust) verder met informatiebeveiliging dan de andere.
Waar te beginnen?
Natuurlijk kunt u beginnen met een leeg vel papier, maar het is gebleken dat dat niet efficiënt is. Vaak is er in meerdere of mindere mate al aandacht voor informatiebeveiliging en zijn er al maatregelen getroffen. Deze zijn wellicht op het eerste oog niet herkenbaar als maatregelen ter bescherming van verlies, manipulatie of niet beschikbaarheid van informatie. Naast inefficiënt is de leeg-vel-papier-methode ook niet effectief. Er worden dingen gedaan die er al zijn, en misschien nét iets anders. Dat kost tijd, geld en heeft vaak niet het gewenste effect.
Assessment / quick scan
Daarom is het goed om eerst een assessment of quick scan uit te voeren op de status van informatiebeveiliging binnen de corporatie. Aan de hand van volwassenheidsniveaus wordt gemeten wat de kwaliteit van de opzet (het informatiebeveiligingsbeleid), het bestaan van maatregelen (wat is er geregeld) en het bewustzijn van de organisatie (wat weten we van informatiebeveiliging) is. Dit geeft een goed inzicht in de stand van zaken, zowel voor de gebieden die al goed geregeld zijn als de gebieden die aandacht behoeven. Hier heeft u het vertrekpunt in handen. Op de uitkomsten van de assessment is een goede prioritering te maken – de minst goed scorende onderwerpen eerst. Ook kan de aanpak van de te verbeteren gebieden in overzichtelijke stukken verdeeld en opgepakt worden. Zo blijft het (her-)inrichten van informatiebeveiliging een beheerst proces.
Gebleken is dat een assessment een uitstekende en kosteneffectieve methode is, die tevens bijdraagt aan een verhoging van het beveiligingsbewustzijn in de organisatie. Na het op orde brengen van informatiebeveiliging is een assessment een prima instrument om de resultaten van alle inspanningen inzichtelijk te maken.
Nu weet u waar u staat en wat u te doen heeft. Nu kunnen we vooruit kijken naar de risico’s die de corporatie loopt. Hierover meer in deel 3 van deze serie.
Door: Jorrit van de Walle, Audittrail
Klik hier om de bedrijfsprofielpagina van Audittrail in de CorporatieGids 2014 te bekijken.
Wat is het toch ieder jaar een voorrecht om CorporatiePlein te mogen organiseren. En wat was deze 13e editie - afgelopen…
www.corporatieplein.nl
CorporatieGids Magazine Maart 2024 - Huurderstevredenheid Inhoud Cécile Engelsma (WormerWonen): Huurderstevredenheid draagt bij aan ons bestaansrecht…
Zoek en vind leveranciers en adviesbureaus die IT-diensten en oplossingen aanbieden aan woningcorporaties.
