Auteur: Tom Ascroft, chief information security officer bij Unit4
Bijna wekelijks zijn er krantenartikel te vinden over rampzalige datalekken en hacks bij (grote) Belgische bedrijven. Het moge dus wel duidelijk zijn dat een securitybeleid anno 2024 onmisbaar is. Veel bedrijven hebben al wel zo’n beleid, maar dat is vaak een mengelmoes van checklists met regels die niet voldoende in de praktijk getoetst zijn. En dat is zonde. Een goed securitybeleid zou medewerkers namelijk een simpele routekaart moeten bieden, die hen duidelijk maakt wat zij moeten doen of welke expert zij moeten benaderen als er incidenten zijn. Hoe je zo’n beleid opstelt? Dat vertel ik in deze blog. Maar eerst: wat gaat er nu eigenlijk fout?
Droog en verwarrend
Vaak is een securitybeleid gebaseerd op standaardsjablonen en staan ze vol met juridische en technische termen. Daarom lezen medewerkers het niet goed door, en halen er al helemaal geen relevante informatie uit. Ook zie je dat bij bijvoorbeeld fusies of overnames beleidsdocumenten onzorgvuldig worden samengevoegd, waardoor het lastig voor medewerkers is om normen, regels en wetten omtrent security te volgen.
Maar wat moet er dan wel in jouw handboek voor het securitybeleid staan? Het document moet in ieder geval de aanpak van security- en governance-processen voor medewerkers uiteenzetten. Verder is het belangrijk dat het ook besluitvormers tools biedt voor het voorlichten van medewerkers, het delen van informatie en het uitvoeren van escalatieplannen. Hier zijn de drie belangrijkste tips voor het ontwikkelingen van een securitybeleid:
1. Wees praktisch
Bij het ontwikkelen van een goed securitybeleid is het allereerst essentieel om praktisch te zijn. Zo is het meenemen van kwaliteits- en beveiligingsnormen belangrijk, maar het securitybeleid is niet slechts bedoeld om te laten zien dat de organisatie hieraan voldoet. Het beleid moet juist waarde bieden aan de medewerkers. Geef dan ook duidelijke richtlijnen, processen en procedures mee in het beleid. En maak dit duidelijk en praktisch toepasbaar door stappen te definiëren die makkelijk te volgen zijn, niet teveel tijd kosten en het werk van personeel niet in de weg zitten.
2. Deel het op
Daarnaast is het belangrijk om te beseffen dat een universele aanpak niet zal werken voor een securitybeleid. Binnen een organisatie zijn er namelijk uiteenlopende kennisniveaus en specialisatiegebieden. Voor niet iedereen is dus dezelfde informatie relevant. Schrijf het securitybeleid dan ook met de menselijke factor in het achterhoofd: deel beleidsregels op in verschillende secties voor collega’s in verschillende functies en houd de documentatie doorzoekbaar. Zo wordt het securitybeleid er veel vaker bij gepakt!
3. Laat de documentatie leven
Als laatste is het belangrijk om te realiseren dat een securitybeleid nooit helemaal klaar is. Zo moet het bij wijzigingen in de wet- en regelgeving op alle relevante punten worden bijgewerkt – denk bijvoorbeeld aan nieuwe beleidsregels en richtlijnen voor het gebruik van AI. Blijf dus altijd op de hoogte van de wetswijzigingen, zodat deze makkelijk en snel in het securitybeleid verwerkt kunnen worden en de medewerkers snel up-to-date zijn.
Een waardevolle aanvulling
As je het securitybeleid niet beschouwt als een vervelende huishoudelijke taak, ontdek je dat het in werkelijkheid een wapen is om je van de concurrentie te onderscheiden. Een goed securitybeleid biedt medewerkers namelijk waardevolle tools in het geval van incidenten en waarborgt de kwaliteit binnen het bedrijf. En als het securitybeleid duidelijk, praktisch, doorzoekbaar en altijd up-to-date is, pakken jouw medewerkers het er ook echt bij. Misschien wordt het dus tijd om dat document onder het stof vandaan te halen en er met een frisse blik naar te kijken!
Over Tom Ascroft
Tom trad in februari 2021 in dienst bij Unit4 en is wereldwijd verantwoordelijk voor de cyberbeveiliging van Unit4. Het identificeert opkomende beveiligingsbedreigingen en ontwikkelt de strategieën, beleidslijnen, algemene controles en organisatorische beveiligingscultuur die nodig zijn om deze te beperken. Voordat hij bij Unit4 kwam, was Tom Chief Information Security Officer bij de University of Surrey, waar hij samen met de afdeling IT-services het cyberbeveiligingsaanbod transformeerde en opnieuw definieerde. Daarvoor bekleedde Tom de functie van Director of Information Security voor EMEA bij Avanti Communications, gevolgd door Head of Information Security Consulting voor Legal & General PLC in het Verenigd Koninkrijk, waar hij zich bezighield met verzoeken om informatiebeveiliging, cyberverzekeringen van derden, penetratietesten en applicatietests. Tom heeft een MBA van de Warwick Business School.
