Doel van deze tips is om draagvlak te creëren en te behouden voor een goed werkend ISMS. 

IB-manager = Informatie Beveiligingsmanager of diegene verantwoordelijk voor de certificering.

CEO = diegene die de IB-manager aanstuurt, zoals directie, CIO, MT, budgethouder of IT-manager.

TIP Passend

Je kunt naar een externe auditor altijd verklaren dat iets 'passend' voor de organisatie is. Voorbeeld; De biljart vereniging kan het wachtwoord beleid minder zwaar aanvliegen dan het ministerie van Defensie.

Ook documentatie moet passend zijn. De documentatie van het inrichten van een nieuwe server is veel serieuzer dan de documentatie van 'het opruimen van het cursuslokaal'.

TIP Waar of niet waar?

• Risico's worden vastgesteld door de IB manager. 

• De IB-manager bepaald hoe groot de risico's zijn.

Beide niet waar.

De IB-manager zorgt ervoor dat de risico analyse uitgevoerd wordt en dat alle risico's goed omschreven worden en vergelijkbaar zijn (appels met appels vergelijken). Dus een risico is niet 'er wordt op een foute link geklikt' maar 'Informatie is niet meer beschikbaar omdat bestanden versleuteld zijn omdat op een verkeerde link geklikt is'.

De grootte van de risico's (kans x impact) worden vastgesteld door de eigenaar van informatie, in kleine organisaties is dat de CEO.

TIP Waar of niet waar?

• De IB-manager bepaalt welke maatregelen genomen worden voor te grote risico's.

Niet waar

De IB-manager zorgt dat er voorstellen gedaan worden voor maatregelen. Zorg ervoor dat dat je als IB-manager niet de wetgevende, uitvoerende en controlerende macht bent.

TIP Waar of niet waar?

• De maatregelen voortvloeiende uit te grote risico's MOETEN geïmplementeerd zijn VOOR de externe auditor langs komt.

Onjuist.

Je kunt verklaren dat een maatregel wel onderkend maar nog niet geïmplementeerd is. Je moet dan wel een plan hebben om hem te implementeren.  

TIP Het moet van de IB-manager!

Onjuist. De IB-manager doet voorstellen, heeft overzicht, houdt actiepunten bij, houdt de jaarplanning in de gaten. De CEO besluit. 

TIP Perfectie

"Het betere is de vijand van het goede".

Stel dat je er achter komt dat een powerpoint presentatie niet gelabeld (publiek, vertrouwelijk, geheim). Wat doe je dan?

• Je registreert een afwijking en doet de oorzaak en omvangsanalyse.
• Qua omvang blijkt dit geen uitzondering te zijn. Alle oude PowerPoints zijn niet gelabeld!!!
• De perfecte oplossing is om alle PowerPoints te openen en te labelen. Maar ook alle uitgeprinte Powerpoints te labelen.

Hiermee zet je het hele bedrijf op zijn kop.

Je kunt ook minder agressief te werk gaan door een uitsterf constructie:

• Pas het Powerpoint sjabloon aan en zet er een label op. Hierdoor staat de classificatie er al default op.
• Doe een mededeling aan alle gebruikers dat vanaf heden de classificatie op een Powerpoint moet staan en dat er een sjabloon voor is.
• Voeg een risico toe; "De vertrouwelijkheid van een Powerpoint van voor 'vandaag' kan als publiek xxxx kan geschonden worden omdat de classificatie niet op alle Powerpoint's van voor 'vandaag' staat". Zo'n Powerpoint zou, onterecht, als publiek behandeld kunnen worden.
• Zet de controle van het gebruik van de juiste sjabloon op de agenda van de volgende interne audit.

TIP Stel je als IB manager nederig op.

"Ik snap dat de IB maatregelen onhandig zijn maar dit is nodig om voldoende veilig te werken."

Wijs eventueel op de "tenzij" regel. Geef aan dat uitzonderingen mogelijk zijn.

Waarom kan je je werk niet doen? Wat is een alternatieve manier van werken? Waarom moet er voor jou een uitzondering komen?

Als een vastgestelde maatregel niet uitgevoerd kan worden, denk dan na over een alternatief en doe dat.

Voorbeeld van een alternatief. Een bestand is te groot om via beveiligde mail te mailen. Alternatief is versleutelen en op andere manier verzenden. Geef het wachtwoord via een ander kanaal (SMS, Signal, Email) door. 

TIP Gebruik geen teksten als "Het moet van de ISO!"

Hele slechte tekst. Je moet iets zelf willen. De norm is een handig hulpmiddel.

TIP Leren van fouten van anderen.

Kijk naar lekken en andere incidenten in de markt. Vraag je af; "had ons dat ook kunnen gebeuren"? Leren van fouten mag ook van fouten van anderen. Bij voorkeur zelfs

TIP Laatste tip

Heeft u voor mij nog een tip? Laat het me weten.