Het opstellen en naleven van een informatiebeveiligingsbeleid is voor de meeste bedrijven een logische maar uitdagende doelstelling. Er zijn legio frameworks die gebruikt kunnen worden, waarvan de meest bekende waarschijnlijk ISO 2700 (en afgeleiden zoals NEN 7510) is. Voor grote ondernemingen, die onder toezicht staan, zijn vaak meerdere frameworks van toepassing, aangezien zij rekening moeten houden met verschillende richtlijnen. Het maken van een abstract, een eigen framework, waarmee verschillende frameworks en audits gediend zijn, kan een oplossing zijn om de regel- en rapportagedruk te verminderen. In de praktijk blijken dergelijke eigen frameworks uiteindelijk door interpretatie toch juist weer nét niet dekkend. Een auditor kijkt vaak subtiel anders naar normen dan een ondernemer of een business manager.
Informatiebeveiliging ten dienste van organisatiedoelstellingen
Het nadeel van dit soort frameworks en alle vormen van toezicht en rapportage is dat er een vorm van blindheid ontstaat die we vanuit de financial control wereld ook kennen. Cost control die ten koste gaat van bijvoorbeeld klant- of medewerkerstevredenheid. Het resultaat op langere termijn is een verlies aan omzet en winstgevendheid. Iets wat het voortbestaan van de onderneming harder raakt dan de korte termijn kostenbesparing. Met informatiebeveiliging kan het ook die kant opgaan, tenzij we ervoor zorgen dat informatiebeveiliging ten dienste staat van de strategische doelen van de onderneming. Bovendien moet de uitvoering van het beleid begrijpelijk en uitlegbaar zijn.
Een manier om dit vorm te geven, is door informatiebeveiliging te benaderen vanuit een Business Balanced Score Card perspectief. Het doel is om informatiebeveiligingsaspecten te integreren met business doelstellingen.
Voor een financiële instelling zou dit er als volgt uit kunnen zien:
Financieel Perspectief:
Bedrijfsdoel: Toename winstgevendheid en vermogensgroei.
- Beveiligingskenmerk 1: Vermindering van verlies door financiële fraude
- KPI: Verlies t.g.v. financiële fraude als percentage van het vermogen.
- Beveiligingskenmerk 2: Zorgen voor naleving van regelgeving (compliance)
- KPI: Percentage compliance schendingen.
Klantperspectief:
Bedrijfsdoel: Versterken van klantvertrouwen en klantbehoud.
- Beveiligingskenmerk 1: Dataprivacy en bescherming van klantgegevens
- KPI: Aantal gegevensinbreuken met betrekking tot klantinformatie.
- Beveiligingskenmerk 2: Beschikbaarheid online bankieren en geslaagde transacties
- KPI: Incidenten (downtime) die van invloed zijn op online bankdiensten.
Intern Proces Perspectief:
Bedrijfsdoel: Optimaliseren van operations en risicobeheer
- Beveiligingskenmerk 1: Responstijd bij frauduleuze activiteiten
- KPI: Gemiddelde tijd om frauduleuze transacties te detecteren en erop te reageren.
- Beveiligingskenmerk 2: Beheer van leveranciersrisico’s
- KPI: Percentage van kritieke leveranciers die voldoen aan de beveiligingsnormen.
Perspectief van Leren en Groei:
Bedrijfsdoel: Bevorderen van de ontwikkeling en cybersecurity awareness van werknemers
- Beveiligingskenmerk 1: Cybersecuritytraining en certificering
- KPI: Percentage van het personeel met relevante cybersecurity certificeringen.
- Beveiligingskenmerk 2: Lessen geleerd uit cybersecurity incidenten
- KPI: Aantal verbeteringen welke zijn geïmplementeerd als gevolg van cybersecurity incidenten.
Deze Business Balanced Score Card is toegespitst op de specifieke bedrijfsdoelen en beveiligingsbehoeften van een financiële instelling. Het is zeker niet uitputtend en het is aan te bevelen om de waarden af te stemmen op de unieke kenmerken en eisen van jouw financiële instelling. Wanneer de juiste doelen, kenmerken en KPI’s bepaald zijn, raken het informatiebeveiligingsbeleid en de beveiligingsmaatregelen beter afgestemd op de missie en prioriteiten van de organisatie.
Bovendien wordt de waarde van investeringen in informatiebeveiliging op deze manier beter inzichtelijk en uitlegbaar, zodat voorkomen wordt dat we ‘penny wise, pound foolish’ worden in het almaar groter en complexer wordende domein van informatiebeveiliging.
