Photo by Edge2Edge Media on Unsplash
In elk bedrijf draait alles om een paar kernprocessen. Dáár verdien je je geld mee, dus dáár wil je als eerste aan de slag met informatiebeveiliging. Denk aan: het productieproces bij een fabrikant, het ontwikkelproces bij een softwarebedrijf, of het klantcontactproces bij een dienstverlener. Zonder dat primaire proces geen omzet, en dus geen bedrijf.
Maar — en hier gaat het in de praktijk nogal eens mis — om die hoofdprocessen heen hangen talloze kleinere processen die je primaire proces mogelijk maken. En precies daar is informatiebeveiliging dus óók belangrijk. Zonder veilige deelprocessen loopt je hoofdproces ook risico.
Wat zijn eigenlijk processen? Alles wat herhaalbaar is en een begin, een set activiteiten en een einde heeft. Van “nieuwe medewerker aannemen” tot “factuur verwerken” en “social media post publiceren”.
Voorbeelden van ondersteunende processen (die dus óók risico’s met zich meebrengen) zijn bijvoorbeeld op het gebied van HR de onboarding en offboarding van nieuw personeel. Maar ook op het gebied van financiën of marketing heb je belangrijke processen die beveiligd moeten worden tegen bijvoorbeeld het lekken van persoonsgegevens of het illegaal overmaken van geld.
Zie je het patroon? Informatiebeveiliging zit overal. En omdat het overal zit en allemaal van elkaar afhankelijk is, is je bedrijf zo veilig als de zwakste schakel. Een prima beveiligd productieproces is fijn, maar als je financieel medewerker voor tonnen spookfacturen betaalt gooi je het kind met het badwater weg.
Hoe doe je zo iets op een simpele manier? Plan bijvoorbeeld drie korte rondes:
- Ronde 1 (30 min): Teken het hoofdproces.
- Ronde 2 (45 min): Noem per deelproces 1–3 dingen die mis kunnen gaan (je risico’s) en 1–3 **maatregelen **en leg beide vast in een lijst.
- Ronde 3 (30 min): Sorteer op belang en bespreek de voor hen relevante risico’s en maatregelen met je personeel. Laat ze acties voor hun eigenwerk opstellen en wijs eventueel deadlines toe. Vergeet ook niet je externe dienstverleners zoals je automatiseringsclub te betrekken. Aan “we dachten dat zij het deden” heb je niets.
- Klaar is je eerste veiligheidsroadmap.
Dit is bij uitstek een mooie aanpak voor organisaties die tot ongeveer 30 of 40 personen in dienst hebben. De lijnen zijn kort, en je kunt mensen snel aan het werk zetten. Voor grotere organisaties is een op maat gemaakte aanpak beter, zeker als ze aan bepaalde klantspecifieke eisen of wetgeving moeten voldoen.
En als je deze aanpak volgt, krijg je het volgende er als bonus bij:
- Je kweekt bewustzijn door erover te praten. Mensen zien hoe hún taak de rest raakt en welke risico’s er zijn voor de processen waar ze bij betrokken zijn.
- Je hebt meteen een actiegericht lijstje met maatregelen.
- Je prioriteert op feiten. Niet “wat voelt belangrijk”, maar “wat heeft de hoogste impact en is haalbaar”.
Tot slot: informatiebeveiliging is geen los projectje “voor IT”. Het haakt in élk proces, groot of klein. Begin bij de kern, loop de randen langs met de mensen die het werk doen, en je zet vandaag al stappen die morgen gedoe voorkomen. Kleine maatregelen, grote winst.