Het belang van managementsupport voor informatiebeveiliging & privacy
Door Legalitadvies.nl
Gepubliceerd Op 30 september 2020
Ruim een week geleden kwam Waternet in het nieuws via Follow the Money (https://www.ftm.nl/artikelen/beveiliging-waternet-lekt). In het artikel werden vele misstanden aangehaald rondom de staat van informatiebeveiliging en privacy. Waternet is onderdeel van onze vitale infrastructuur en daar geldt een specifieke wet voor, namelijk de Wet Beveiliging Netwerk en- informatiesystemen (Wbni). Tevens is Waternet een overheidsorganisatie en dienen zij te voldoen aan de Baseline Informatie Beveiliging Overheid (BIO) en natuurlijk de Algemene verordening gegevensbescherming (AVG).
Net als veel andere organisaties heeft Waternet de afgelopen jaren flink ingezet op digitalisering. Een bijkomend effect hiervan is dat een organisatie blootgelegd wordt aan digitale kwetsbaarheden. Daarom is het van groot belang dat er gedegen maatregelen worden genomen, zowel technische als organisatorische. Maatregelen als deze staan beschreven in de Wbni, BIO en AVG.
Uit het artikel blijkt dat de Securityafdeling zijn best heeft gedaan om diverse maatregelen te nemen, maar dat het management deze veelal terugdraaide. Tevens hadden de meeste mensen moeite of ervaarde het als lastig om mobiele apparaten te updaten, draaide diverse systemen op verouderde infrastructuur, hadden medewerkers toegang tot systemen waarvoor zij geen toegang nodig hadden én hadden veel servers onnodig toegang tot het internet.
De Securityafdeling van Waternet zal hier niet als enige last van hebben. De problemen die in het artikel aangehaald worden zijn problemen die ook bij andere organisaties kunnen spelen. Denk bijvoorbeeld aan de ransomware-aanval op de Universiteit Maastricht, ook daar werd gebruik gemaakt van verouderde systemen
Wat kan hieraan gedaan worden?
In mijn optiek en ervaring zijn er diverse zaken die ondernomen kunnen worden om het managementsupport op het informatiebeveiliging en privacy vlak te verhogen:
- Communiceer met het management en maak men bewust;
- Voer samen met het management een bestuurlijke risicoanalyse uit, kom erachter wat zij belangrijk vinden en vertaal dat naar informatiebeveiliging en privacy;
- Houd het securitynieuws goed in de gaten en haal artikelen van Waternet, Universiteit Maastricht of andere relevante artikelen aan waar het niet goed is gegaan en wat daarvan de consequenties zijn.
Tenslotte, wat ik niet zal doen als medewerker van een dergelijke organisatie: is de media inschakelen. Ongeacht de informatiebeveiligings- en/of de privacystatus. Er zijn namelijk andere wegen – waaronder die drie hierboven – die bewandeld kunnen worden. Ik zal nog eerder mijn ontslag indienen: ik kan mij namelijk niet voorstellen dat deze methode je werkplezier vergroot.
Wilt u meer weten over hoe bovenstaande punten geconcretiseerd kunnen worden of onze hulp inschakelen, bekijk dan onze website: https://legalitadvies.nl of neem contact op met Michel Modderkolk.
Auteur: Michel Modderkolk
