In ronde 4 van de 29ste saMBO-ICT Conferentie zit ik bij een sessie van ROC Twente. André Wessels en Paul Tempelaar praten ons bij over hun traject van beleidskeuzes. verkenningen, risicoanalyses, nulmetingen en de implementatie van het informatieveiligheidsplan. Hierin is samengewerkt met directie (verantwoordelijk), de informatiemanager (regie), kwaliteitszorg, controllers en de facilitaire diensten.
Er zijn drie hoofdissues met informatieveiligheid:
- Beschikbaarheid: als er iets mis is, kun je niet werken omdat de informatie niet bereikbaar is.
- Integriteit: als er iets mis is, klopt de informatie niet meer.
- Vertrouwelijkheid: als er iets mis is, kennen anderen deze informatie.
Op deze hoofdissues hebben ze steeds een classificatie toegepast. Sommige informatie is gewoon vitaal, niet, zeer of uiterst vitaal. De gevolgen hiervan verschillen dan weer.
De hoofdoorzaken zijn in afnemende frequentie:
- Onwetend handelen
- Onvoldoende gedragen beleid
- Falende techniek
- Opzettelijk handelen
Mijn indruk is dat ze er in slaagden om tijdens een nul-meting de risico’s van verschillende veiligheidscategorieën te kwantificeren. Mede dankzij het classificeren va risico’s en gevolgen. Interessant vond ik ook hun achterliggende doelen en een meta-doel:
- Een veiligheidscultuur voor informatie en bijgaande draagvlak onder betrokkenen.
- Een continue en waar gewenst vertrouwelijke informatievoorziening.
- Een organisatie waarin beide doelen nagestreefd, gecontroleerd, bediscussieerd en bijgesteld kunnen worden