Het beschikken over een bedrijfsspecifiek privacy- en beveiligingskader is een essentieel maar niet voldoende voorwaarde voor het treffen van generieke beheers- en beveiligingsmaatregelen die zorgen voor een effectieve bescherming van bedrijfs- en persoonsgegevens. Zie ‘Informatiebeveiliging – voorbereiden en implementeren’. Het kader past de bedrijfsleiding, in samenwerking met het management, de CISO en de FG, risicogericht toe en vervolgens ontstaat een beheerscyclus.
De risicogerichte toepassen van beheers- en beveiligingsmaatregelen vraagt continue monitoring van de effectiviteit van de maatregelen. Het testen van de compliance met het kader vindt plaats door interne controlemaatregelen die “by design” in de bedrijfsprocessen zijn opgenomen. Hiernaast voeren het management en de compliance manager onderzoeken, bijvoorbeeld Data Protection Impact Assessments (DPIA, zie overzicht Assessment & audit).
In het Risk Register spiegelt het bedrijf het bedrijfskader met de uitkomsten van de compliancewerkzaamheden. Voor de bedrijfsleiding en het management ontstaat een beeld van de bedreigingen van de bescherming van bedrijfs- en persoonsgegevens en de impact als een dergelijke bedreiging zich daadwerkelijk voordoet. Het aanvullen of vervangen van getroffen beheersmaatregelen moeten de bedreigingen terugdringen tot een voor de bedrijfsleiding aanvaardbaar niveau.
Het toepassen en beheren van het bedrijfskader vraagt van de bedrijfsleiding, het management en de medewerkers kennis van zaken. Waarom is het bedrijfskader essentieel voor de continuïteit van de bedrijfsvoeren, wat zijn bedreigingen en welke beheers- en beveiligingsmaatregelen nodig? De beheersmaatregel bewustwordings- en trainingsmaatregelen als onderdeel van kennismanagementis een essentieel maar niet voldoende de bedrijfs- en persoonsgegevens effectief te beschermen.
Doelgroep
Op basis van het privacy-, security- en compliance-kader van het bedrijf gaat het IT-management aan de slag de passende IT-systemen en IT-diensten aan te kopen. De IT-manager stelt een architectuur op en werkt een overzicht van functionele en non-functionele uit. Vervolgens stelt de IT-manager een lijst op met potentiële leveranciers die passen bij het kennisniveau van de organisatie. Aan de leveranciers legt het bedrijf de eisen aan de generieke informatie infrastructuur voor. Het management bespreekt met alle potentiële leveranciers het pakket eisen. Waardevol zijn de opmerkingen over de architectuur en het pakket van eisen. Tijdens het gesprek vormt het management een beeld over het constructief kunnen samenwerken met de leverancier; sluiten de kennisniveaus van de organisatie en de leverancier aan? Na elk gesprek werken de vertegenwoordigers van het bedrijf een uitgebreide evaluatie uit.
Met een beperkt aantal potentiële leveranciers doorloopt het IT-management een offertetraject.
Steeds bij beslismomenten betreft de IT-manager de CISO, compliance manager en de FG. Zij zorgen ervoor dat met name de non-functionele eisen worden opgenomen in de processen van de informatie infrastructuur.
Het actief betrekken van de bedrijfsleiding en het management is een uitdaging. Er is bewustwordings- en trainingsprogramma nodig voor het op niveau brengen van de noodzakelijke kennis om gefundeerd beslissingen te nemen.
Veelal zijn er in de afdelingen medewerkers die duidelijk kunnen aangeven welke generieke functionaliteiten essentieel zijn voor een effectieve bedrijfsvoeren. Het slagen deze kennis te mobiliseren vergroot het succes van het toepassen van de informatie infrastructuur.
Het monitoren van de infrastructuur, het doorvoeren van noodzakelijke aanpassingen, het adequaat reageren op incidenten en datalekken en het zorgen dat de infrastructuur het fundament is voor het organiseren van de privacy, informatieveiligheid en compliance met wettelijke en contractuele eisen zijn beheertaken van de IT-afdeling, de CISO, de compliance manager en de FG.
De medewerkers gebruiken de infrastructuur en ervaren als eerste als er iets niet in orde is. Het bewustmaken en het trainingen van de medewerkers is een essentiële activiteit om de infrastructuur veilig te houden.
Doelen
Een adequate infrastructuur ondersteunt de bedrijfsactiviteiten effectief met centrale opslag van bedrijfs- en persoonsgegevens, rol gedreven toegang tot categorieën van gegevens, authenticatie van identiteit van medewerkers plus mechanisme van het koppelen van medewerkers aan rollen, en een regel gedreven compliance dat slechts medewerkers die geautoriseerd zijn toegang hebben tot gegevens waarvoor zij bevoegdheden hebben.
De uitkomsten van het monitoren van de infrastructuur kan aanleiding zijn andere of aanvullende maatregelen te treffen. Het voorbereiden, plannen en doorvoeren van de wijzigingen vraagt coördinatie, afstemming en uitleg aan de medewerkers.
Uitgaande van de bedrijfspolicy privacy, veiligheid en compliance, bespreken wij met behulp van een aantal casussen het toepassen en beheren van beheers- en beveiligingsmaatregelen. Een bijzonder instrument voor toepassen en beheren is het risicogericht veranderen en toepassen van beheers- en beveiligingsmaatregelen. Wij bespreken aan de hand van een casus hoe een bedrijfsorganisatie de aansturing van generieke maatregelen kan organiseren. Wij betrekken een beheeromgeving van een Cloud leverancier en de toepassing PSCa.
Een bedrijf kan deze aanpak gebruiken voor het bewustmaken en trainen van medewerkers.
Desgewenst kunnen wij een practicum inlassen.
Cursuscategorie organiseren van bedrijfsactiviteiten
Het toepassen en beheren van de generieke technische en organisatorische beheers- en beveiligingsmaatregelen is voor vele organisaties een zoektocht. De CISO en de compliance manager adviseren de bedrijfsleiding over deze infrastructuur. De FG ziet erop toe dat er voldoende werkende maatregelen worden getroffen voor het effectief beschermen van persoonsgegevens.
