In vier stappen informatiebeveiliging op de agenda
Hoe krijg je aandacht voor informatiebeveiliging? Zorginstellingen leveren zorg, daar draait het om. Maar dat ontslaat je niet van de verantwoordelijkheid om informatie veilig te houden. Als ik vraag naar de grootste frustratie van de IT-manager of security-officer hoor ik bijna altijd: de strijd om aandacht te krijgen voor informatiebeveiliging. Aandacht krijg je in principe door twee methoden: inspelen op angst of verlangen. Welke van deze twee het beste werkt is afhankelijk van de personen en organisatie. Angst is over het algemeen een iets krachtiger emotie. En beide methoden vragen tijd en herhaling. Met geduld en onderstaande stappen kun je informatiebeveiliging steeds hoger op de prioriteitenlijst krijgen.
Stap 1 Aanwakkeren van de angst
Als het gevoel van urgentie niet groot genoeg is zal je informatiebeveiligingsprogramma niet de prioriteit krijgen die het verdient, om maar niet te spreken van aandacht voor security-awareness (informatiebeveiligingsbewustzijn) bij de medewerkers.
Iedere bestuurder is tot op zeker niveau bang voor een datalek waarbij medewerker-, klant- of bedrijfsgegevens openbaar worden. Dit kost geld, zeker na het in werking treden van de Meldplicht datalekken. Maar het kost ook reputatie en klantvertrouwen. Ook het op andere punten niet voldoen aan wet- en regelgeving kan boetes opleveren. Als informatiebeveiliging niet op orde is kan dat er ook toe leiden dat informatie niet beschikbaar is op het juiste moment op de juiste plaats. In dat geval is de kwaliteit van zorg in het geding.
Probeer uit te vinden waar jouw bestuurders het meest bang voor zijn. Het is ook menselijk dat de angst pas groot genoeg wordt als het geen ver-van-mijn-bed-show is, dus dat het dichtbij komt. En het is mogelijk om dat te laten zien. Vind voorbeelden van waar het mis gegaan is op de punten waar jouw organisatie gevoelig voor is en zorg dat dat beeld heel hard binnenkomt. Misschien kun je iemand van een getroffen organisatie uitnodigen om te komen vertellen wat het betekende. Je kunt ook een ethical hacker inhuren die, waar de bestuurders bij zijn, laat zien hoe eenvoudig het is om binnen te komen in jullie systemen. Laat ze het maar benauwd krijgen!
Stap 1 Aanwakkeren van de angst
Als het gevoel van urgentie niet groot genoeg is zal je informatiebeveiligingsprogramma niet de prioriteit krijgen die het verdient, om maar niet te spreken van aandacht voor security-awareness (informatiebeveiligingsbewustzijn) bij de medewerkers.
Iedere bestuurder is tot op zeker niveau bang voor een datalek waarbij medewerker-, klant- of bedrijfsgegevens openbaar worden. Dit kost geld, zeker na het in werking treden van de Meldplicht datalekken. Maar het kost ook reputatie en klantvertrouwen. Ook het op andere punten niet voldoen aan wet- en regelgeving kan boetes opleveren. Als informatiebeveiliging niet op orde is kan dat er ook toe leiden dat informatie niet beschikbaar is op het juiste moment op de juiste plaats. In dat geval is de kwaliteit van zorg in het geding.
Probeer uit te vinden waar jouw bestuurders het meest bang voor zijn. Het is ook menselijk dat de angst pas groot genoeg wordt als het geen ver-van-mijn-bed-show is, dus dat het dichtbij komt. En het is mogelijk om dat te laten zien. Vind voorbeelden van waar het mis gegaan is op de punten waar jouw organisatie gevoelig voor is en zorg dat dat beeld heel hard binnenkomt. Misschien kun je iemand van een getroffen organisatie uitnodigen om te komen vertellen wat het betekende. Je kunt ook een ethical hacker inhuren die, waar de bestuurders bij zijn, laat zien hoe eenvoudig het is om binnen te komen in jullie systemen. Laat ze het maar benauwd krijgen!
Stap 2 Speel in op het verlangen
Hoe goed dit werkt is afhankelijk van de organisatiecultuur. Kijk hoe ambitieus je organisatie is. Sommige organisaties hebben het streven naar gezonde, gelukkige cliënten en medewerkers in een veilige omgeving hoog in het vaandel staan. Zij willen voorop lopen en investeren in de omgeving en goed opgeleide medewerkers. Dan is het zaak te zorgen dat informatieveiligheid een plaats krijgt tussen de andere verlangens als kwalitatief goede zorg en klantvriendelijkheid. Dan kun je inspelen op het ideaal van een veilige wereld voor iedereen: verander de wereld, begin bij jezelf. Als je organisatiecultuur wat lagere ambities heeft zal het inspelen op verlangen minder goed werken.Stap 3 Huidige situatie
Helaas dat ik het moet zeggen, maar in de meeste zorginstellingen zal het niet zo moeilijk zijn te laten zien dat de informatie verre van veilig is. Ontlok uitspraken over het ambitieniveau en laat zien hoe ver je daarvan af zit. Je hoeft maar rond te lopen en je ziet waar informatie niet veilig is, of je laat dit zien door een professioneel social-engineeringonderzoek. Misschien is de cultuur er een van ontkenning van het probleem. Dat is heel menselijk, vooral als de managers en medewerkers al druk of gestrest zijn. Het kan ook dat medewerkers onvoldoende motivatie en vaardigheden hebben om veilig gedrag te vertonen. Misschien is het ambitieniveau op alle vlakken laag of wordt er nergens gerapporteerd over de stand van zaken. Of er zijn procedures, structuren en systemen die het moeilijk maken om de beveiliging overal op het vereiste niveau te krijgen. Een extern onderzoek of nulmeting kan helpen, al of niet met de NEN 7510 (norm voor informatiebeveiliging in de zorg) als meetlat. Soms maakt het meer indruk als een buitenstaander het zegt.Stap 4 Oplossing
Als je dan iedereen hebt overtuigd van het probleem, dan is het belangrijk te laten zien dat er een oplossing is. Met een globaal stappenplan kun je daarna inzetten op het krijgen van middelen voor het uitvoeren van een risicoanalyse en het opstellen van een plan van aanpak. Zolang zich nog geen incidenten hebben voorgedaan kun je het argument gebruiken: het kost minder vooraf te implementeren en op te leiden dan achteraf de rotzooi op te ruimen. Hiermee heb je handvatten gekregen om informatiebeveiliging op de agenda te krijgen. Maak er gebruik van en ga de organisatie in! Ik ben benieuwd naar de resultaten. Laat het me weten, rechtstreeks of via het commentaarveld hieronder. Als je aanvullingen of andere tips hebt, deel ze hier zodat meer mensen ervan kunnen profiteren. Of neem contact op met PrivacyLab. Deel alsjeblieft dit artikel met jouw netwerk via de deelknop op Facebook, Twitter, Tumblr en Google+, zodat ook de mensen in jouw netwerk hiervan kunnen profiteren. Delen op LinkedIn moet nog handmatig.[learn_press_profile]
0 Comments