Het zal niet ieders hobby zijn, maar je kunt er niet omheen: als organisatie die de beveiliging van haar informatie belangrijk vindt, zul je vroeg of laat een beveiligingsbeleid moeten opstellen. Dat kan nog wel eens tot weerstand leiden, omdat degenen die met beveiliging aan de slag gaan, niet altijd veel op hebben met regeltjes en papierwerk. ‘Ik kan mijn tijd toch beter besteden aan het veilig houden van informatie, dan aan het schrijven en onderhouden van papieren tijgers?!’ is een vaak gehoorde reactie.
Dat mag dan zo zijn, maar een beveiligingsbeleid is méér dan een droge opsomming van getroffen beveiligingsmaatregelen. En het uiteindelijke beleidsdocument is op zichzelf niet het einddoel. Het formuleren van beleid dwingt een organisatie namelijk om goed na te denken over waar zij voor staat, welke doelen daarbij horen en hoe je die kunt bereiken. Daarnaast heeft de documentatie niet alleen waarde als intern naslagwerk, maar kan het ook worden gebruikt om verantwoording af te leggen aan bijvoorbeeld opdrachtgevers, de Raad van Toezicht, de ondernemingsraad, de auditor of de Autoriteit Persoonsgegevens. Maar: hoe kom je tot een beleid waar je ook echt wat mee kunt? Graag geven wij een paar praktische tips, gebaseerd op wereldwijde best practices.
Tip 1: informatiebeveiliging moet op het hoogste niveau geagendeerd en aangestuurd worden
Om informatiebeveiliging te laten slagen, moet er betrokkenheid zijn vanuit de directie. Dat betekent ook, dat de directie (minstens op hoofdlijnen) voldoende kennis moet hebben van informatiebeveiliging. Uiteraard kan er van alles gedelegeerd worden, maar het startpunt van het informatiebeveiligingsbeleid is de directie. De directie bepaalt immers de koers en strategie van de organisatie en draagt eindverantwoordelijkheid.
Het beleidsstuk dat op het hoogste niveau wordt vastgesteld hoeft niet uitputtend en van het grootste detailniveau te zijn. De uitwerking van specifieke beleidsonderwerpen kan op een lager niveau plaatsvinden. Maar het is aan de directie om de aanpak en doelstellingen voor de organisatie te bepalen, en dus ook de doelstellingen m.b.t. informatiebeveiliging.
Tip 2: voorkom ‘security island’ en zorg voor aansluiting op bestaande doelstellingen, strategieën en structuren
Het is niet alleen inefficiënt om voor je beleid omtrent informatiebeveiliging het wiel opnieuw uit te vinden; het leidt ook tot verwarring en onduidelijkheid. Is er al een kwaliteitssysteem om de bedrijfsprocessen te borgen? Sluit dan daarbij aan voor de inrichting van je managementsysteem voor informatiebeveiliging. Wordt een bepaalde gelaagdheid of structuur gehanteerd in bestaande beleidsstukken, die bekend is in de organisatie? Sluit dan daarbij aan voor de inrichting van je documentatie. Maar bovenal: zorg ervoor dat de doelstellingen en beleidsregels met betrekking tot informatiebeveiliging aansluiten of in het verlengde liggen van de ‘algemene’ bedrijfsdoelstellingen en missie van de organisatie. Informatiebeveiliging is immers geen doel op zich, maar een middel om de organisatie in staat te stellen haar missie uit te voeren.
Tip 3: werk van abstract naar concreet
Veel beleid wordt opgesteld in reactie op een gebeurtenis in de praktijk. Het is daarbij verleidelijk om die praktijkgebeurtenis direct en concreet te adresseren. Het punt is echter dat daardoor een lappendeken kan ontstaan van hele concrete beleidsstukken, die slechts van toepassing zijn in een beperkt aantal gevallen. Met als gevolg dat voor de organisatie onduidelijk is wat nu precies het beleid is in gevallen die net anders zijn.
Om dit te voorkomen kan ervoor gekozen worden om eerst meer abstracte, richting gevende uitgangspunten te formuleren. Deze principes kunnen altijd worden toegepast, ook in situaties die zich nog niet hebben voorgedaan. Voor situaties die zich vaker voordoen kunnen concrete uitwerkingen van de bovenliggende principes worden opgesteld, bijvoorbeeld in de vorm van een protocol of procedure. Zulke protocollen of procedures moeten altijd in lijn zijn met de bovenliggende uitgangspunten.
Tip 4: ken je doelgroep en stem je beleidsstukken daarop af
Informatiebeveiligingsbeleid wordt zelden in één document gevat. Vaak gaat het om een reeks samenhangende stukken die gezamenlijk het informatiebeveiligingsbeleid vormen. Die stukken zullen elk hun eigen doelgroep hebben. Het is belangrijk om de inhoud daarop af te stemmen. Zo zal een overkoepelend, richting gevend en daardoor tamelijk abstract beleidsdocument nut hebben voor het management, maar weinig waarde hebben als handleiding op de werkvloer. Zo’n handleiding moet specifiek en concreet zijn.
Naast vorm, inhoud en toon is het ook belangrijk om na te denken over het kennisniveau van de doelgroep. Bepaalde doelgroepen zullen over minder of juist meer kennis van informatiebeveiliging beschikken dan de andere. In die situaties zul je het beleid dus moeten ondersteunen met kennisoverdracht, al dan niet in de vorm van trainingen.
Tip 5: accepteer dat je beleid niet volledig is
Het is verleidelijk om eindeloos aan beleidsstukken te blijven schaven, net zolang totdat ze perfect zijn. Maar: de wereld verandert continu, evenals de organisatie. Het is daarom utopisch om te denken dat het perfecte en volledig complete beleidsstuk een haalbare kaart is. Accepteer daarom dat je nooit volledig kunt zijn. Maar bouw daarvoor ook maatregelen in. Enerzijds kun je beleid maken voor onvoorziene situaties door te werken met principes (tip 3), anderzijds is het belangrijk om het beleid procesmatig te borgen via een plan-do-check-act-cyclus. Kort samengevat: evalueer regelmatig of je beleid nog passend is en het gewenste effect sorteert, en stuur bij wanneer dat niet zo is.