'56% van securityspecialisten is de controle kwijt'

Hoe krijg je de regie over informatiebeveiliging terug?

Lees verder Vraag demo aan

Incidenten rond informatiebeveiliging zijn de afgelopen tijd veelvuldig in het nieuws. Documenten met privacygevoelige informatie die medewerkers laten rondslingeren, maandenlang openstaande servers, onopgemerkte malware binnen het bedrijfsnetwerk; het securitybeleid laat bij veel bedrijven te wensen over. Zo’n 56% van een grote groep CEO’s zegt dan ook dat hun securityspecialisten de controle kwijt zijn. Hoe zit dat precies? En nog belangrijker, hoe krijgen ze de regie terug.

Versnippering

 

Rapporten van consultancybureaus als Capgemini en KPMG bevestigen dat veel organisaties inderdaad nauwelijks grip hebben op hun datasecurity. De verantwoording hierover blijkt vaak versnipperd en er worden veel tijdelijke oplossingen ingezet om gaten te dichten. Het ontbreekt ze bovendien aan een toekomstbestendig beleid.

Verdeelde verantwoordelijkheid

Veel organisaties pretenderen dat ze hun beveiligingszaken prima op orde te hebben. Ze hebben toch immers allerlei experts in dienst die zich daarmee bemoeien? En juist daardoor loopt het vaak helemaal mis. Want in de praktijk blijkt het dan om stukjes beleid te gaan die worden ondergebracht bij verschillende afdelingen, zoals Legal, HR, financiën en IT. ‘Experts’ die langs elkaar heen werken en vaak niet goed toegerust blijken om de taak uit te voeren door onvoldoende kennis, begeleiding of onvoldoende beschikbaarheid.

Gevolg: een wirwar aan documenten en spreadsheets, met honderden voorgenomen maatregelen, waarin ieder voor zijn eigen deel de zaken regelt en afdelingen alleen hun eigen compliance in normen en kaders definiëren. Het grote plaatje ontbreekt.

Doolhof

Gelukkig beseffen steeds meer bestuurders dat ze hiervoor beter een bekwame securityspecialist in de arm kunnen nemen. Maar die raakt door zo’n versnipperd beleid al snel de weg totaal kwijt. Natuurlijk gaat die eerst bij alle afdelingen te rade om alle informatie en actuele statussen boven water te krijgen. Vaak genoeg wordt hij dan al snel geconfronteerd met personeel dat verantwoordelijk is, maar niet alle stukjes van de puzzel paraat heeft.

Tijdrovend

Tel daar onvoldoende financiële en sturende middelen bij op en je begrijpt dat zo’n specialist niet bij machte is zijn werk goed te doen. Bovendien zijn de meesten ruim 80% van hun tijd alleen al kwijt aan operationele zaken. Niet alleen zijn ze daar gewoonweg te duur voor, ze verliezen daarmee ook nog eens het totaaloverzicht. Daardoor kunnen ze bestuurders niet of onvoldoende voorzien van strategisch en tactisch advies en ze kunnen ook geen volledige stuurinformatie verstrekken over risico’s en beheersing van de compliance doelstellingen.

Geen actueel beeld

Idealiter zijn securityspecialisten uitsluitend bezig met tactisch en strategisch advies. En moeten direct de juiste maatregelen kunnen treffen als er iets fout gaat. Om proactief en daadkrachtig op te kunnen treden, is krachtige monitoring en controle dan ook onontbeerlijk. Plus handvatten waarmee je alle gerelateerde processen integraal bijhoudt en registreert. GRCcontrol van CompLions biedt daar momenteel een van de beste tools voor.

Vraag demo aan

Compleet security management

Samengevat is GRCcontrol een softwarepakket dat al het interne risk-, compliance-en kwaliteitsmanagement vastlegt en vereenvoudigt. Daarbij biedt het bedrijven de nodige structuur in de wirwar van regelsets, wetten en kwaliteitseisen.

Organisatie breed houdt deze tool bij welke taken er qua securitymanagement moeten gebeuren en aan wie dat is toebedeeld. GRCcontrol monitort bovendien of dat daadwerkelijk wordt uitgevoerd. Omdat de software ook overlap tussen maatregelen detecteert, kun je deze op meerdere plekken in de organisatie direct borgen, wat veel tijd bespaart.

Daarmee werk je proactief aan de veiligheid van data, signaleert meteen hoeveel mensen er met dezelfde taken bezig zijn en voorkomt zo dat verschillende afdelingen onnodig dubbel werk doen. Dat bespaart indirect ook veel kosten.

Best Practices

De GRCcontrol biedt ook verdieping. Weet je bijvoorbeeld niet hoe je het beste kunt inspelen op een zich voordoend incident, dan zijn er meer dan honderd Best Practices in het systeem opgenomen die allerlei kennis en mogelijke oplossingen voor bepaalde situaties aandragen.

Specialisten die al een tijdje met GRCcontrol werken, geven dan ook aan dat het ze veel operationeel werk bespaart en dat ze zich nu volledig kunnen bezighouden met dat waarvoor ze het bedrijf zijn binnengehaald.

Uitrol in eigen tempo

De implementatie in de organisatie is altijd maatwerk. Het wordt compleet afgestemd op wat voor een organisatie van toepassing is, inclusief de maatregelen die daarbij horen. Wil een organisatie meteen starten, dan kan dat. Want je kunt met een minimale set aan benodigde maatregelen een begin maken en deze gedoseerd en gefaseerd de organisatie inbrengen. Dan heb je een uitstekende basis die je later eenvoudig kunt uitbreiden.

Eenvoudig en helder

De meeste organisaties zitten niet te wachten op een ingewikkelde, juridisch ingestoken tool. Gelukkig is GRCcontrol dat ook niet. Het is geschreven door vakspecialisten voor vakspecialisten en zo opgezet dat ook afdelingen als HR en Financiën op een eenvoudige en intuïtieve manier worden meegenomen in de regelgeving en procedures. De gebruikers ontvangen eenvoudige taken, duidelijke overzichten, er zijn ingebouwde controles en de tool biedt altijd realtime inzicht in de stand van zaken. Precies wat securityspecialisten anno nu nodig hebben.