Naar aanleiding van de recente afronding van mijn honderdste consultancy opdracht met betrekking tot informatiebeveiliging en digitale weerbaarheid, vond ik het tijd om mijn ervaringen te delen. Ik heb geprobeerd mijn ervaringen enigszins te groeperen. En wil deze de komende periode met jullie delen. Daar waar mogelijk heb ik voorbeelden gebruikt uit mijn eigen praktijk.
- Het begint met bewustwording, kennis en inzicht over informatiebeveiliging ontwikkelen, het borgen hiervan in processen.
- Het tweede deel staat voor het kiezen van een doel of een scope.
- Na het verkregen hebben van inzicht en het doel te hebben bepaald staat de implementatie op het programma. Hoe zou je dit aanpakken en welke middelen zijn hiervoor nodig wordt behandeld in het vierde deel.
Wanneer de implementatie afgerond is, is het moment daar om te reflecteren, evalueren en des gewenst te auditeren en/of te certificeren.
Echter deze indeling is geen lineaire volgorde of pad. Het is een volgorde waarin voortdurend wordt geprobeerd, gaandeweg zich problemen voordoen, waar oplossingen voor bedacht moeten worden en waar mensen vaak berusten als het niet meer lukt. Voor sommigen is het net de kringloop van geboorte en dood. De lineaire volgorde ontstijgen is pas echt implementeren, daar wordt creativiteit en deskundigheid verwacht. En maakt het implementeren van een ISO standaard keer op keer ook leuk, spannend en verrassend.
Deze fasen lijken dan ook te voldoen aan ieder basisprincipe voor organisatieontwikkeling en implementatie van een standaard, de Demingcirkel:
- Plan: Bedenken en ontwikkelen van beleid en richting
- DO: Het sturen van uitvoering van het beleid
- Check: Het controleren van de werking en de uitkomsten van het beleid
- Act: het corrigeren en verbeteren van het proces
Hoe een organisatie-inzicht krijgt over informatiebeveiliging wordt sterk bepaald door de manier waarop tegen informatiebeveiliging aangekeken wordt en hoe vorm gegeven wordt aan implementatie. Daar wil ik de volgende keer mee beginnen.