Het gaat maar door, die meldingen over vertrouwelijke gegevens die op straat komen te liggen, over verstoorde dienstverlening door DDoS aanvallen, over DigID-oplichting, marktplaatsfraude en over (bedrijfs)spionage door allerlei inlichtingendiensten. “Houdt het nou nooit op?”, vraag je je misschien wel eens af. Ik denk dat het antwoord kort is: inderdaad, het houdt nooit op. Sterker, ik denk dat dit slechts het begin is.
Niet om FUD (fear, uncertainty and doubt) te verkondigen, maar ben je je bewust van de risico’s die jouw organisatie loopt? En beheers je deze risico’s? En wat doe je als het klantenbestand ineens op straat blijkt te liggen? Of wanneer je webshop onderuit ligt? Of als je bedrijfsgeheimen bij de concurrent terecht komen? Kun je dat voorkomen, en heb je een plan klaarliggen hoe om te gaan met een incident?
Probeer er eens gestructureerd over na te denken. Een norm als de ISO27001 kan hierbij een prima hulpmiddel zijn. Niet om een papieren tijger te creëren, maar om er uit te halen wat relevant is. Certificering op zo’n norm is dan niet eens noodzaak, maar als referentiekader prima toepasbaar.
Er wordt wel eens beweerd dat certificering op ISO27001 helemaal niets brengt. Ik denk echter van wel. De norm helpt je om na te denken over de verschillende informatiestromen en -systemen binnen je organisatie en hoe deze adequaat te beveiligen: hoe je de beschikbaarheid, integriteit en vertrouwelijkheid van je informatie waarborgt. Met een ISO27001 certificering verplicht je jezelf om in ieder geval één keer per jaar eens goed na te denken over de risico’s die je als organisatie loopt en welke maatregelen je daartegen neemt.
Beveiligings- en privacyrisico’s worden helaas steeds groter. 100% veiligheid valt niet te creëren, maar als je voorbereid bent, weet je in ieder geval wat te doen bij een incident en ben je in staat de gevolgen beperken.
Enne… laat eens een onderzoek doen door een legal hacker om te toetsen hoe gemakkelijk gegevens bij jouw organisatie te achterhalen zijn!
Comments are closed