Zoals de kop al aangeeft is het integraal beveiligingsmodel (mijn geesteskind zullen we maar zeggen) geëvalueerd en op basis daarvan geëvolueerd. Het is nu weer helemaal bij de tijd en biedt de basis om integrale beveiliging binnen organisaties op te bouwen.
Een aantal zullen het model in de basis kennen en weten het achterliggende verhaal er al bij. Maar voor diegene die het model en met name het verhaal nog niet kennen…ik kom het graag toelichten. Neem daar wel de tijd voor want als ik er eenmaal over begin dan ben je nog niet van me af…er is ook zoveel over te vertellen.
Een model is altijd een versimpelde weergave van de werkelijkheid. Zo ook voor dit model, maar het biedt het raamwerk om de integrale beveiliging binnen organisaties goed op te pakken. Hiermee geven we dus aan dat beveiliging geen technisch aspect (firewalls en anti-virus) is maar veel meer een bedrijfskundig aspect dat zich richt op de continuïteit van de organisatie. Te vaak komen we nog tegen dat een organisatie informatiebeveiliging met allerlei technische maatregelen oppakt (waarbij men, ten onrechte, denkt voldoende beveiligd te zijn) zonder dat er daarbij gekeken wordt naar de risico’s voor de bedrijfsvoering.
Het almachtige doel voor iedere organisatie is continuïteit van de bedrijfsprocessen, de juiste inrichting van beveiliging draagt daar aan bij. Beveiliging is een kwaliteitsaspect en is ondersteunend aan de primaire en secundaire bedrijfsprocessen (de processen waarmee de organisatie haar geld verdient) en moet dus altijd afgestemd zijn op die processen. Niks technisch, toch? Beveiliging is dus geen panklare oplossing die je uit een boekje haalt maar maatwerk dat exact moet zijn afgestemd op de organisatie, haar processen, haar informatiesystemen, haar locaties, haar medewerkers, etc. etc. Maar nu ga ik eigenlijk al op de inhoud van het model in, mocht je er meer over willen weten dan kom ik het je graag in geuren en kleuren vertellen, mensen die ik het in het verleden al eens verteld heb staan meestal verbaasd met wat het vakgebied (volgens mij in ieder geval) allemaal inhoudt.
Voordat we afsluiten komt het kortweg hierop neer: beveiliging draait om het afdekken van risico’s voor de primaire en secundaire bedrijfsprocessen om de continuïteit van de organisatie te waarborgen, dat afdekken van die risico’s kunnen we doen door allerlei maatregelen (technisch, procedureel, organisatorisch, bouwkundig en elektronisch) maar dan wel de juiste combinatie van maatregelen die gebaseerd zijn op de risico’s aan de ene kant en de kosten aan de andere kant. Er is dus veel meer onder de zon dan een firewall en een anti-virus pakket.
Ik hoor wel van je als je er eens met me over wil brainstormen.