Onze diensten

Informatiebeveiliging in de praktijk, hoe houdt een organisatie dit levendig?

Auteur: Marie-Cecile Pruijn
Datum: 05-12-2022

Bij QSN ondersteunen we organisaties, o.a. zorginstellingen en ICT-organisaties, bij de inrichting van processen in een managementsysteem. De laatste jaren is de vraag naar het borgen van een managementsysteem op het gebied van informatiebeveiliging gegroeid. Hierbij is het streven te voldoen aan de ISO 27001 en/of NEN 7510. Het aanpakken van toegangsbeheer tot systemen, het opstellen van een bedrijfscontinuïteitsplan en het managen van leveranciers op basis van beveiligingscriteria zijn onderdelen van de implementatie van deze informatiebeveiligingsnormen. Wanneer de beveiligingsprocessen in de praktijk zijn gebracht, start ook de periodieke planning- en controlecyclus. Het doel? Het borgen en continu verbeteren van informatiebeveiliging binnen de organisatie. Dit proces gaat gepaard met de motivatie om het certificaat te behalen én behouden. Maar ook met een intrinsieke motivatie om ervoor te zorgen dat er zorgvuldig met informatie van betrokkenen wordt omgegaan en beveiligingsincidenten worden voorkomen. De grote vraag is echter, hoe hou je dit managementsysteem levendig?

De norm geeft houvast

De informatiebeveiligingsnormen geven een goede richtlijn bij het implementeren van informatiebeveiliging in de praktijk. Aanvullende normen zoals NEN 7512 voor het faciliteren van veilige gegevensuitwisseling en NEN 7513 voor het loggen van acties in elektronische patiëntendossiers dragen daar ook aan bij. Net als een combinatie van ISO 27001 en ISO 27701, om het managementsysteem van organisaties ‘privacy proof’ te maken en te voldoen aan AVG wetgeving.

Deze normen bieden houvast maar geven weinig input hoe je als organisatie de processen levendig houdt. Hoe zorg je dat alle medewerkers zich bewust zijn van de informatiebeveiligingsprocessen? En hoe zorg je dat het de aandacht blijft krijgen die het verdient? We zien in de praktijk dat organisaties het wel eens lastig vinden om van informatiebeveiliging een periodiek thema te maken. Het fundament staat, maar integratie met de dagelijkse bedrijfsvoering of zorgverlening is er niet altijd. Het managementsysteem werkt nog niet als een gestroomlijnde keuken. Precies daar ligt de uitdaging.

Beveiligingsprocessen levendig houden

Door onze ruime praktijkervaring hebben we bij QSN ervaring met verschillende methodes voor het levendig houden van een managementsysteem. Onderdelen van een programma om medewerkers te informeren en bewust te maken zijn onder andere:

  • Het organiseren van een Workshop Awareness. Ga tijdens deze workshop het gesprek aan met de medewerkers. Weten zij wat informatiebeveiliging betekent voor jullie organisatie? En herkennen zij een informatiebeveiligingsincident? Laat bijvoorbeeld een afbeelding zien van een werkplek met diverse incidenten, zoals printjes op de printer, een laptop die niet vergrendeld is of een memo blaadje met een wachtwoord erop. Laat de medewerkers aangeven wat er ‘fout is’.
  • Een animatievideo over informatiebeveiliging. Een handige en leuke manier om informatiebeveiliging onder de aandacht te brengen is het delen van een animatievideo. Wist je dat het brein visueel is ingesteld? Maak bijvoorbeeld een video over het wachtwoordbeleid binnen jouw organisatie.
  • Een e-learning informatiebeveiliging. Een snelle en eenvoudige manier om bewustwording te verhogen is de inzet van een e-learning. Hiervoor zijn diverse vormen denkbaar; video’s, animaties, afgewisseld met vragen. Een voordeel van een e-learning is de meting van het volgen van de e-learning en eventuele score voor een eindtoets.
  • Een bezoek van een Mystery Guest. Een mystery guest is een specialist in het onopgemerkt binnendringen van jouw bedrijfspand en test hierbij of informatiebeveiliging wordt nageleefd. Daarnaast controleert hij/zij de bewustwording rondom de beveiligingsrisico’s. Worden laptops vergrendeld en worden dossiers niet onbeheerd achtergelaten? Het bezoek geeft inzicht in het informatiebeveiligingsbewustzijn van de medewerkers.
  • Natuurlijk niet vergeten een phishing test. Een phishing test geeft inzicht in de bewustwording rondom digitale documentatie. Herkent een medewerker een phishing test, hoe wordt binnen de organisatie gehandeld bij een phishing mail (wordt er op geklikt of wordt er een melding gemaakt bij ICT).

Meer weten?

Bij QSN spelen we in op de beveiligingsrisico’s en wensen van jouw organisatie. We onderzoeken welke ingrediënten we moeten combineren om het perfecte gerecht te serveren. Neem vrijblijvend contact op en we denken graag met je mee over het vergroten van informatiebeveiligingsbewustzijn binnen jouw organisatie.

Contact

zorg