0318-830376 info@docco.nl

Informatiebeveiliging is ‘trending topic’, dat blijkt wel uit de hoeveelheid nieuwsberichten hieromtrent. Of het nu gaat om lekken van gegevens bij bedrijven of de recente DDoS-aanvallen op de banken: informatiebeveiliging staat op de kaart. Securityleveranciers springen gemotiveerd in op deze verontrustende berichten en slijten de meest exclusieve hardware om u van dienst te zijn. U wilt immers het beste voor uw bedrijf en geen risico lopen zelf slachtoffer te worden. Helaas… hardware op zichzelf gaat u niet verder helpen. Een juiste mindset wél.

shutterstock_103378880Het voorkomen van incidenten en zekerstellen van uw continuïteit door aandacht te besteden aan informatiebeveiliging is niet de enige opdracht voor u als accountantskantoor. Vanuit compliance perspectief dient u te toetsen of er conform de Wet Bescherming Persoonsgegevens wordt gehandeld en vanuit de rol van accountant dient u de betrouwbaarheid en continuïteit van de geautomatiseerde gegevensverwerking te toetsen (Artikel 2:393 BW). Het vraagt om de nodige expertise aan uw zijde en een integrale aanpak om goed invulling te geven aan deze taken.

Proces en beheersing
Accountantskantoren opereren wellicht teveel in de veronderstelling dat hier voldoende invulling aan wordt gegeven. IT Risk Control publiceerde deze week de bevindingen van uitgevoerde assessments, waarbij het beheersingsniveau werd bepaald langs de lijn van het Cobit® Maturity Model. Het gaat hierbij overigens om IT risico’s in breder perspectief dan enkel informatiebeveiliging. Opvallende conclusie was het verschil in de inschatting van beheersingsniveaus in relatie tot de aangetoonde maatregelen. Daarnaast beschikt 80% niet over een raamwerk voor risicoanalyse en 75% heeft geen calamiteitenplan, terwijl IT inmiddels cruciaal is voor de bedrijfsvoering. Er mag van het accountantskantoor toch worden verwacht dat hij hier een voorbeeldrol in aanneemt, temeer om het advies richting de klant inzake informatiebeveiliging en maatregelen geloofwaardig en onderbouwd te laten zijn?

Een bekend spreekwoord is ‘een ketting is niet sterker dan de zwakste schakel’. Informatiebeveiliging zou dan ook als zodanig moeten worden beschouwd. Het is een integraal proces waarbij de inzet van techniek, proces(beheersing) en mens elementair is en niet los van elkaar moet worden gezien.

  • Techniek: is er voldoende technische en goed bijgewerkte apparatuur voorhanden en worden de configuraties geregeld onderworpen aan technische tests?
  • Proces: in hoeverre zijn afspraken gedefinieerd én geborgd, bijvoorbeeld langs de lijn van Cobit, ITIL of de code voor informatiebeveiliging volgens ISO?
  • Mens: zijn alle medewerkers op de hoogte van de risico’s rond het thema, handelen ze conform wetgeving voldoende zorgvuldig en zijn adviseurs in staat om ook klanten hierbij van dienst te zijn?

Rol van de medewerker
Die laatste factor kan trouwens ook een bedreiging zijn, mits niet goed georganiseerd. Een paar jaar geleden had een medewerker die in onvrede zijn werkgever verliet in het theoretische geval een bestelbus nodig om op een zaterdag ordners met klantdossiers te ontvreemden uit het kantoor. Vandaag de dag volstaat een usb-stick en circa vijf minuten tijd om gevoelige informatie te onttrekken. Natuurlijk tekenen uw medewerkers voor vertrouwelijkheid, maar dat biedt geen enkele garantie in het voorkomen van incidenten. Ook per abuis en niet moedwillig kan hij of zij een laptop achterlaten in een openbare gelegenheid. Het is dan ook raadzaam te werken aan een organisatiecultuur van bewustwording rond zorgvuldig omgaan met informatie. Een cultuur waarin ieder medewerker weet wat van hem verwacht wordt aan de hand van een aanwezig informatiebeveiligingsbeleid. Een cultuur waarin de medewerker geholpen en getraind wordt de juist afwegingen te maken in de omgang met gevoelige informatie. Een cultuur waarin het melden van mogelijke risico’s en incidenten positief wordt omarmt. Dan kun u adequaat acteren en ‘erger’ voorkomen!

Om over na te denken: wat is de impact op de continuïteit van uw bedrijf als uw naam slecht in het nieuws komt door weglekken van gegevens?

 

De collega’s van DOCCO voerden eerder een succesvolle campagne met workshops en e-learning materiaal om medewerkers bewust te maken van hun rol en hun bijdrage aan een veilige omgang met informatie.  We vertellen u graag meer over de positieve uitkomsten hiervan! Naast campagnes voor uw organisatie kunnen we u van dienst zijn bij het opstellen van risico- en impactanalyses, continuïteits- en calamiteitenplannen. DOCCO benadert het integraal en kijkt verder dan techniek: hoe neemt u uw organisatie hierin mee? We helpen u graag!

Share This