Auteurs: Anton Griffioen, Jaap van der Wel
Leerprocessen van betrokkenen zijn leidend
Als uw organisatie bij ieder ongeluk met de informatievoorziening de rommel snel opruimt, de schuldigen straft, de helden eert en vervolgens overgaat tot de orde van de dag, heeft u een probleem. Het kan zo niet eeuwig doorgaan, zeker niet nu uw organisatie aan alle zijden elektronisch geopend wordt. Het invoeren en verbeteren van informatiebeveiliging vereist structurele maatregelen en gaat alle lagen van de organisatie gaan. Het is een proces waarin drie vragen centraal staan: waar staat de organisatie nu, wat is het einddoel en wat is de kortste weg daarheen? Om deze vragen te beantwoorden, beschrijft dit artikel een groeimodel voor de verbetering van informatiebe-veiliging. Het uitgangspunt hiervan vormen de leerprocessen van de betrokkenen bij het verbeteren van de informatiebeveiliging. De auteurs grijpen terug op ervaringen die onder andere zijn opgedaan bij het Ministerie van VROM.
Informatiebeveiliging nu of nooit.
E-commerce, loketten op het Internet; in allerlei verschijningsvormen neemt het belang van de informatievoorziening toe. Informatiebeveiliging wint daardoor aan belang. Ook stellen wet- en regelgeving, denk aan de privacywetgeving, steeds hogere eisen. Dit terwijl bedrijven en overheid voortdurend worden geconfronteerd met informatiebeveili-gingsincidenten. Het besef dat informatiebeveiliging veel verder gaat dan een goed wachtwoord dringt gelukkig door bij het management. Maar hoe pakken we het aan?
Geen recept
Helaas, een eenduidig recept bestaat niet. Elke organisatie heeft haar eigen cultuur, haar eigen primaire processen en eigen bedrijfsvoering. Bovendien zijn er grote verschillen in de mate waarin informatiebeveiliging is geïmplementeerd binnen organisaties. Eén kenmerk hebben alle organisaties gemeen: verbeteren van de beveiliging is een veranderingsproces. Op basis van onze praktijkervaring hebben we een instrument ontwikkeld waarmee het begin en het einde van het proces kan worden bepaald alsmede de veranderstrategie voor het bereiken van het einddoel. Dit artikel geeft een eerste aanzet voor dit instrument in de vorm van een groeimodel voor de verbetering van informatiebeveiliging. Uitgangspunt vormen de leerprocessen die de betrokkenen doormaken bij het verbeteren van de informatiebeveiliging en bij het vasthouden van het eenmaal bereikte niveau.
Wie realiseren informatiebeveiliging?
In de meest eenvoudige organisatie van informatiebeveiliging wordt men bij de uitvoering van het werk geconfronteerd met problemen en moet men die maar zien op te lossen. Pas als er zich ongelukken voordoen, ziet het management in dat de uitvoerders dit karwei niet alleen kunnen opknappen en raken steeds meer organisatieniveaus en specialisten betrokken, te weten: