Slachtofferhulp Nederland begeleidt en ondersteunt slachtoffers van gewelddelicten en rampen juridisch, emotioneel en psychisch. Consultant Burt Sapuletty werd aangesteld als Security Officer om de informatiebeveiliging van de organisatie op hoog niveau te brengen.
“Er wordt in deze organisatie met zeer privacygevoelige gegevens gewerkt. Informatie wordt vaker digitaal uitgewisseld met ketenpartners als politie en justitie. Ook vinden de contacten met slachtoffers steeds vaker online plaats. Er worden dus hogere eisen gesteld aan de informatiebeveiliging. Security by design, privacy by design en risicomanagement staan hoog in het vaandel bij Slachtofferhulp.”
Risicoanalyse bedrijfsprocessen en informatiebeveiligingsplan
“Vanuit mijn achtergrond kijk ik zowel bedrijfskundig als technisch naar informatiebeveiliging. Het maakt onderdeel uit van het bedrijfsproces en bedrijfsprocessen zijn veelal geautomatiseerd. Een belangrijke stap was dan ook om een risicoanalyse uit te voeren op de processen. Op basis van deze analyse maakte ik een informatiebeveiligingsplan waarin ook veel aandacht is voor de mensen. Draagvlak voor het plan is echt een randvoorwaarde, anders slaag je niet. Gelukkig werd het belang tot in de Raad van Bestuur onderkend.”
Cursus bewustwording onder medewerkers
"Mensen zijn eigenlijk altijd de zwakste schakel in het beveiligingsproces. Vanuit het plan ontwikkelden we daarom een interactieve cursus die de medewerkers meer bewust moesten maken van risico’s op het gebied van privacy en informatiebeveiliging. Zij waren verplicht deze cursus te volgen en periodiek te herhalen, dan beklijft het beter. Daarnaast staken we veel werk in security by design en privacy by design bij verschillende softwareontwikkeltrajecten en het IT-beheer in het algemeen.”
Beveiligingskwaliteitssysteem volgens ISO 27001
Burt werkt momenteel aan een kwaliteitssysteem dat de informatiebeveiliging en privacy conform AVG-wetgeving van Slachtofferhulp en haar slachtoffers borgt.
“De opzet van processen en techniek wordt geborgd door middel van een ISMS-informatiesysteem gebaseerd op MAVIM ISMS. De beveiligingsorganisatie wordt deel centraal en deels decentraal ingericht. Decentrale inrichting is nodig om de beveiligingsprocessen op de 50 Slachtofferhulp-locaties te borgen. Vanuit de centrale locatie wordt op de Plan, Do, Check en Act-cyclus gestuurd. De 10 werknemers - ‘beveiligingscoördinaten’ - die actief zijn binnen de beveiligingsorganisatie zijn geselecteerd op hun ‘beveiligingsbewustzijn’ en krijgen allemaal een ISO 27001-training. We verwachten na het tweede kwartaal van 2019 een (2-fasen) audit aan te vragen voor de ISO 27001-certificering zodat Slachtofferhulp Nederland aantoonbaar in controle is!”
‘Predik het beveiligingsbeleid niet vanuit een ivoren toren’
“In veel organisaties wordt informatiebeveiliging als remmend ervaren. Vooral als het gaat om de agile manier van werken. Het is echt belangrijk om informatiebeveiligingsmensen onderdeel uit te laten maken van teams en niet het beveiligingsbeleid vanuit een ivoren toren te prediken! Geef goede voorlichting waarin je werknemers meeneemt en praktijkvoorbeelden uitwerkt. Ook begeleiding vanuit management is cruciaal.
Mijn tip voor collega-consultants: voor je aan een dergelijke opdracht begint is het belangrijk om eerst met het senior management te praten. Wanneer je het gevoel krijgt dat er weinig steun is; overweeg dan goed of je de opdracht aanneemt.”
Meer informatie
Eens praten over informatiebeveiliging en ISO 27001 voor uw organisatie? U bent van harte welkom in Weesp.