De 7 doodzonden bij beveiligingspolicies
Gepubliceerd: Woensdag 14 oktober 2009
Auteur: Joan Goodchild
Vandaag de dag heeft je bedrijf zoveel policies dat het allemaal maar lastig is bij te houden. Maar hoe effectief zijn ze in het verminderen van de risico's en heb je sommige niet alleen ingesteld om aan de wet te voldoen en worden ze niet echt afgedwongen? Volgens de experts op dit gebied zijn dit veelvoorkomende fouten bij het inzetten van policies.
We geven je zeven fouten die veel worden gemaakt. Kijk maar waar je zelf schuldig aan bent en wat je daaraan wilt doen.
1 Geen risicoanalyse voor het instellen van een policy
De eerste vraag die een bedrijf zich moet stellen voordat het een policy instelt is: "Waarom heb ik deze policy nodig en wat willen we ermee bereiken?" Dat klinkt heel logisch, maar het is een cruciale stap die vaak wordt overgeslagen. Dat zegt tenminste Charles Cresson Wood, een onafhankelijke consultant.
"Ik werk nu met een klant die heel erg strikt kijkt naar wat voor policies hij van de overheid in moet stellen. Maar een risico-analyse heeft hij in geen drie jaar gemaakt", zegt Wood. "Ze weten echt niet wat ze aan het doen zijn, dus de policies die ze instellen hebben helemaal geen nut. Ja, ze voldoen aan de letter van de wet, maar zeker niet aan de geest."
2. Een 'one-size-fits-all'-mentaliteit
Veel organisaties gebruiken simpele voorbeelden uit boeken of ze lenen ze van andere organisaties, zegt Wood. "Ze hergebruiken gewoon wat ze vinden." Wood heeft zelfs voor een bedrijf gewerkt dat de naam van een ander bedrijf nog op de prints had staan. Toen hij dat onder de aandacht van het management bracht, was hun enige reactie dat het document niet zo goed was geredigeerd.
Maar het schrijven van een beveiligingspolicy die werkt betekent meer dan alleen maar redigeren. Je kunt gerust het voorbeeld van een andere organisatie volgen, maar dat kun je alleen maar doen nadat je een goede risico-analyse hebt gemaakt van je eigen bedrijf. En dan is het van het grootste belang om het hele plan aan te passen aan je EIGEN bedrijf. Dat betekent dat je de tijd moet nemen om policies te maken die jouw unieke beveiligingsprofiel op het lijf geschreven staan.
3. Geen standaardsjabloon
En nu willen we je echt niet in de war maken. Natuurlijk, een 'one-size-fits-all'-mentaliteit is verkeerd, maar dat betekent niet dat je policies niet consistent hoeven te zijn. Dat zegt Scott Hayden, een beveiligingsconsulent die is gespecialiseerd in management, policy en governance.
"Er moet wel een standaardstructuur zijn voor elk document dat altijd gevolgd wordt", zegt hij. "Soms kom ik bij organisaties die maar wat aanmodderen. Sommige policies staan op papier, andere weer niet. Sommige zitten zelfs in de e-mail."
Hayden adviseert zijn klanten om standaardprocedures in te stellen voor het aanmaken, onderhouden en distribueren van policies. "Ik leg er bij mijn klanten heel erg de nadruk op dat ze altijd hetzelfde sjabloon moeten gebruiken bij het opstellen van policies en altijd dezelfde procedure moeten volgen."
Het gebruiken van steeds dezelfde standaard zorgt er ook voor dat ze consistent blijven en daardoor beter leesbaar. "Elke keer dat ik bij een organisatie kom en weer een policy van 100 pagina's voor mijn neus krijg, weet ik direct dat het onmogelijk is in het gebruik", zegt Hayden. "Dat komt doordat je het steeds moet herzien als er iets verandert in de policy en het ook aan iedereen bekend moet maken."
