Informatiebeveiliging is informatiemanagement


Bij ongeveer ieder voorstelrondje zeg ik wel iets in deze lijnen:

"Ik heb een achtergrond in informatiemanagement en zag een enorme overlap met informatiebeveiliging (en privacy) dat ik mij erop richt om die achtergrond optimaal te benutten om mijn opdrachten op het gebied van informatiebeveiliging en privacy uit te voeren."

Klinkt natuurlijk best aardig (al zeg ik het zelf). Maar wat bedoel ik dan precies? Ik neem je even mee in mijn beelden.

Wat is informatiemanagement?

Als we kijken naar de diverse definities van informatiemanagement komen we ergens uit op: 'de brugfunctie tussen de business en ICT'. 

Iets concreter betekent dit dat informatiemanagement zich richt op het vertalen en bij elkaar brengen van vraag (business) en aanbod (ICT). Informatiemanagers hebben dan ook vaak inhoudelijke kennis van de (on)mogelijkheden van ICT én weten hier ook op het juiste moment vragen over te stellen aan de specialisten. Deze ICT-kennis vullen ze aan met verstand van de processen van de organisatie die ondersteund worden door alle digitale mogelijkheden.

Vaardigheden

Een informatiemanager heeft allerlei tools, vaardigheden en concrete instrumenten nodig om zijn werk goed uit te kunnen voeren. Hieronder een aantal concrete zaken die wat mij betreft elementair zijn voor het goed vervullen van de informatiemanagersrol.

  • Communicatief vaardig
    Een collega van mij zegt regelmatig, ik spreek Nederlands en ICT. Dit geeft het wat mij betreft goed weer. Je moet je in diverse doelgroepen kunnen verplaatsen om met hen het gesprek te kunnen voeren om tot een passende oplossing te komen.
  • Onderzoekend
    Een informatiemanager is kampioen 'Waarom?' en 'Hoe?' vragen stellen. Zowel in de organisatie als naar de buitenwereld. Deze houding is noodzakelijk voor het steeds zoeken naar de best passende oplossingen binnen de beschikbare mogelijkheden.
  • Brengt overzicht
    Complexe situaties worden en blijven vaak complex door gebrek aan overzicht. Informatiemanagers vragen steeds door en sluiten aan op de taal van de ander en dat stelt ze in staat om het overzicht te brengen. Dit doet een informatiemanager bijvoorbeeld met (architectuur)platen, (proces of informatie)modellen, rapportages of presentaties.

OK.

En informatiebeveiliging is hetzelfde?

Ja! 

Lees bovenstaande stuk nogmaals en vervang informatiemanagement door informatiebeveiliging en informatiemanager door informatiebeveiliger en het klinkt niet vreemd, toch? 

‘Dit mag niet’ houding

In de praktijk zien we deze invulling natuurlijk wel eens anders. Bijvoorbeeld de informatiebeveiligingsfunctionarissen (of dat nou ISO, CISO, CITSO, ITSO of een andere combinatie is) die gezien worden als 'professioneel nee-zeggers' of de uitspraak “We mogen van norm x,y,z of wet zus ook nooit wat”.

Dit (hardnekkige) beeld komt natuurlijk ook niet uit de lucht vallen. Informatiebeveiliging wordt (deels) door de aanwezigheid van duidelijke kaders en normen ook vaak ingestoken vanuit een 'dit mag niet' houding. Dit leidt vaak niet tot het beste resultaat omdat mensen gewoonweg niet zo werken. Het benaderen zoals we dat ook met informatiemanagement doen is veel effectiever. Je krijgt op die manier namelijk een pakket aan maatregelen en beleid dat echt aansluit bij de organisatie in plaats van een keurslijf dat onvrede en afwijking in de hand werkt. 

Voor de beeldvorming schets ik even een voorbeeld. In je organisatie zijn problemen met e-mails met gevoelige informatie die verkeerd verzonden worden. Je kan dit heel kort door de bocht op twee manieren oplossen.

  1. Je zegt dat medewerkers geen mails meer mogen sturen met cliëntinformatie en dat er een tool is die deze mails vanaf morgen automatisch blokkeert. De tool werkt technisch fantastisch, maar de medewerkers zijn ontevreden en zeggen dat ze zo niet kunnen werken. Er komen zelfs geluiden van medewerkers die vanuit hun privé mailadres zijn gaan werken.
  2. Je gaat in gesprek met (een afvaardiging van) de organisatie over de behoefte om dergelijke mails te versturen. Je bekijkt samen met hen het proces dat wordt uitgevoerd, hoe daar fouten in komen, welke stappen efficiënter kunnen en hoe de beveiliging verbeterd kan worden. Uiteindelijk stel je een helder stappenplan op samen met medewerkers zodat ze zelf kunnen beoordelen of iets wel of niet gemaild kan / hoeft te worden. Hierbij implementeer je een tool die medewerkers een veilige optie voor het verzenden van informatie geeft. Je kijkt vervolgens periodiek naar de effectiviteit van de getroffen maatregel en stelt deze waar nodig bij in overleg met de organisatie. 

De voorbeelden zijn makkelijk, maar schetsen wel een helder onderscheid. Als je het insteekt als informatiemanagement doe je het samen en wordt het echt beter. De eerste optie leidt (op den duur) vaak tot frustratie, misbruik en potentieel nog grotere risico's.

Maar sommige dingen moeten toch gewoon?

Tuurlijk, maar dat is niet anders bij informatiemanagement. Het gaat wat mij betreft echt om de dialoog tussen twee (of meer) partijen. Net als die brug, die bouw je tussen twee kades.

Informatiebeveiliging is infomatiemanagement!
Eens of oneens? Donderdag 7 april organiseert M&I/Partners de online lunchsessie over "Informatiebeveiliging is nformatiemanagement". Tobias van Oerle hierover in gesprek met Robbert van Velsen , CISO en coördinator privacy bij de gemeente Oude IJsselstreek. Aanmelden kan hier >



Terug naar het overzicht