Overslaan en naar de inhoud gaan
Achtergrond PRO
17 augustus 2016 leestijd 8 minuten 0 reacties

ISO 27001: Op weg naar volwassenheid in informatiebeveiliging

IT WORDT ALGEMEEN GEZIEN ALS GROTE ENABLER, maar informatiebeveiliging heeft het stempel van kostenpost en vervelende beperking. Terwijl informatiebeveiliging juist duidelijkheid kan bieden ten aanzien van de risico’s rondom de informatievoorziening.
Paul Bloemen
Paul BloemenInformation Security Officer Meer van deze auteur
Johannes van Luijk
Johannes van LuijkAdviseur beleid, techniek en securityMeer van deze auteur
Ivo Kouters
Ivo KoutersMeer van deze auteur
Stempel goedkeuring
© Pixabay CC0 Public Domain
Pixabay CC0 Public Domain

De sleutel ligt in de beleving van het onderwerp, men ziet informatiebeveiliging als:
Onduidelijk veelkoppig monster: Informatiebeveiliging omvat een veelheid van ongelijksoortige onderwerpen, zoals netwerken, datacenters, servers, werkplekken en toepassingen, en ook wetgeving, medewerkers en leveranciers. Dit kan ontmoedigend werken en na verloop van tijd de vraag oproepen of er niet al genoeg aan informatiebeveiliging wordt gedaan.
Hinderlijk: De meeste mensen ervaren informatiebeveiliging als hinderlijk, soms zelfs schadelijk voor een effectieve bedrijfsvoering. Het is moeilijk maatregelen te formuleren die zowel de bedrijfsbelangen dienen als aan de eisen van informatiebeveiliging voldoen.
Virtueel probleem: Dankzij goede informatiebeveiliging doen zich binnen de organisatie relatief weinig incidenten voor. Het beeld kan ontstaan dat men onkwetsbaar is. De noodzaak van maatregelen en gedrag wordt dan niet ingezien.
Extra kosten: Informatiebeveiliging wordt als extra kostenpost gezien omdat het binnen IT-projecten vaak onvoldoende onderdeel is van de initiële eisenspecificaties. Bovendien zijn die eisen vaak in algemene termen geformuleerd, waardoor de consequenties ervan niet tijdig duidelijk zijn.
Technisch complex: Informatiebeveiliging vraagt om expertise. De gedachtewereld en taal van deze specialisten sluit niet aan bij die van het management. Dit bemoeilijkt de communicatie en besluitvorming aangaande de maatregelen.
Een bijzaak: De voor informatiebeveiliging verantwoordelijke information security manager heeft vaak geen eigen budget.
Buiten de comfort-zone: Verantwoording en transparantie. Dat betekent immers dat de organisatie onder een vergrootglas komt en extern geformuleerde eisen moeten worden geaccepteerd. Voor een certificering moeten waarschijnlijk additionele maatregelen doorgevoerd worden, hetgeen tijd en geld kost. Zeker als de voordelen van certificering voor de kwaliteit van de informatievoorziening niet duidelijk zijn, zullen veel organisaties van certificering afzien.

Lees dit PRO artikel gratis

Maak een gratis account aan en geniet van alle voordelen:

  • Toegang tot 3 PRO artikelen per maand
  • Inclusief CTO interviews, podcasts, digitale specials en whitepapers
  • Blijf up-to-date over de laatste ontwikkelingen in en rond tech

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in