SECURITY POLICY

Het beschermen van waardevolle assets (data, processen etc.) van bedrijven start met het opstellenĀ van een goed beveiligingsbeleid vastgelegd in een IT security policy. Zonder een goed beleid weet niemand wat de organisatie van hem verwacht, of waarvoor hij verantwoordelijk is. Security is dus niet te handhaven zonder een dergelijk policy. Het dient als leidraad in het dagelijks handelen en maakt snel duidelijk wie wat moet doen in het geval van incidenten.

Waar moet een goede IT security policy aan voldoen?

Het opstellen van een goed beveiligingsbeleid is niet eenvoudig. Het beleid moet antwoord geven op een aantal concrete vragen: wie is verantwoordelijk voor welk proces en wie grijpt dus in bij problemen? Welke processen en IT-systemen zijn bedrijfskritiek en mogen nooit uitvallen? Wie mag ze gebruiken?

Daarnaast moet ook worden beschreven op welke manier er omgegaan moet worden met afgeschreven hardware, zodat de data die erop stond zeker gewist is. Ook het formuleren van encryptie- en veiligheidsmaatregelen voor devices zoals mobiele telefoons en laptops zijn van belang. En hoe ga je om met wachtwoorden, accounts of het verzenden van data? Hoe verwerk je klantgegevens en wie is verantwoordelijk daarvoor. Hoe voldoe je aan nieuwe wetgeving?

Nieuwe hoofdrolspelers door wetgeving

Steeds vaker krijgen ook andere rollen in de organisatie te maken met Securitybeleid. Door nieuwe wetgeving is databeveiliging bijvoorbeeld van veel groter belang geworden en naast een mogelijke boete is het grootste risico van datalekken slechte publiciteit. Hierdoor heeft een afdeling als marketing steeds meer te maken met security en de bijbehorende policy. Maar een Marketing Manager beschikt niet over specifieke kennis over dit onderwerp. Leg dus ook in de policy vast wie wanneer op wat voor manier getraind wordt, zo voorkom je dat mensen verantwoordelijk zijn voor iets wat zij niet kunnen overzien.

Al met al is het opstellen van een goed beveiligingsbeleid een hele klus, waar specifieke kennis voor is vereist.

10 dingen waarvan security Experts willen dat eindgebruikers het weten.