Onze aanpak

Wanneer we informatiebeveiliging goed bekijken gaat het eigenlijk altijd om het beperken van risico's in de bedrijfsvoering. Een organisatie heeft een doel (of doelen) en bedrijfsmiddelen (assets) om deze doelen te bereiken. Dat doet een bedrijf door met de bedrijfsmiddelen een aantal processen te doorlopen.

Nu klinkt dit moeilijker dan het is: het bakken van een brood gaat volgens recept (proces) en daar zijn bedrijfsmiddelen (het recept!; de bakker, apparatuur, nutsvoorzieningen zoals gas electriciteit en water, en grondstoffen voor nodig. 

Ook wanneer er geen tastbaar product wordt geleverd, is er sprake van bedrijfsprocessen en bedrijfsmiddelen. Een freelance adviseur zal toch zijn boekhouding moeten doen (proces) en heeft daarbij bedrijfsmiddelen nodig (zichzelf, een computer, bankrekening, bankpas met lezer, geld!, electriciteit).

IAG kijkt naar die risico's en kijkt waar de menselijke bedrijfsmiddelen en hun gedrag van invloed zijn op de gevonden risico's. Door middel van training en eventuele ondersteuning van technische maatregelen proberen we dan die risico's op een aanvaardbaar niveau te brengen.

Concreet betekent dit dat de medewerkers zich eerst bewust moeten zijn van het feit dat zij een deel van het risico vormen en vervolgens wat hun bijdrage kan zijn om die risico's te beperken. Wij proberen daarbij een relatie te leggen tussen het gedrag van mensen privé en zakelijk. Probeer maar eens een collega zijn pincode te vragen of zijn wachtwoord. Privé zijn mensen vaak veel voorzichtiger met informatie verstrekken dan zakelijk.

Wanneer  de medewerkers zich bewust zijn van hun rol, is er vaak minder weerstand om beveiligingsmaatregelen in te voeren. Wij proberen de werkvloer zoveel mogelijk te betrekken bij die maatregelen: zij zijn tenslotte degenen die er het meest "last" van hebben. Door de werkvloer te betrekken, kunnen wij ook maatregelen invoeren welke breed gedragen worden en een hoger acceptatieniveau kennen.

IAG vormt de brug tussen beleid en werkvloer.