Informatiebeveiligingsrisico’s
Voor de beheersing van informatiebeveiligingsrisico’s is vooral de medewerker van een organisatie belangrijk. Dit betekent dat aan awareness voldoende aandacht moet worden besteed. Voor elke organisatie is het een asset dat zij investeert in trainingen voor haar medewerkers om te zorgen dat hun kennisniveau in lijn blijft met de relevante wet- en regelgeving en de risico’s die de organisatie loopt.
Concreet
- Zorg dat de organisatie vastgestelde richtlijnen en gedragscodes heeft met betrekking tot cybersecurity en informatiebeveiliging.
- Deze richtlijnen zijn toegankelijk en bekend bij alle medewerkers van de organisatie.
- In het informatiebeveiligingsbeleid staat een security awareness programma beschreven, dit wordt uitgevoerd om het beveiligingsbewustzijn van de medewerkers te verhogen. Risico’s met betrekking tot cybersecurity zijn hier een onderdeel van.
- Zet aanvullende beheersmaatregelen in, denk hierbij aan toegespitste presentaties, mystery guests en/of e-learnings.
- Alle trainingen die gevolgd zijn, worden aantoonbaar vastgelegd.
- Ook wanneer je als organisatie je IT-activiteiten hebt uitbesteed, blijf je eindverantwoordelijk en daarom is het van belang dat de organisatie de controle houdt op de uitbestede processen. Maak daarom afspraken met de uitvoerder(s) en vraag periodiek Service Level Agreement (SLA) rapportages op of overige Assurance rapportages waarin risico’s met betrekking tot informatiebeveiliging gemonitord worden.
- De organisatie blijft zo in control en kan bijsturen wanneer risicotoleranties worden overschreden die je als organisatie eerder in het risicoraamwerk gedefinieerd hebt.
- Leg in het uitbestedingsbeleid vast dat de uitvoerder zich dient te conformeren aan de gedragsregels van je organisatie. Hier valt ook onder dat ook hij periodiek awareness trainingen moet geven aan haar medewerkers.
- Voer periodiek steekproeven uit om te beoordelen of de uitvoerder weet hoe te handelen wanneer hij vermoedens of signalen ontvangt van risico’s op het gebied van informatiebeveiliging of cyber risk.