Uit welke elementen bestaat een effectief cyberveiligheidsbeleid?

Beleid op het gebied van veiligheid heeft als mogelijk voordeel dat iedereen in de organisatie zijn verantwoordelijkheden kent en weet wat er moet gebeuren als er (vermoedens van) incidenten zijn. Ook kan het de reputatie van de organisatie beschermen. Om het risico op en de gevolgen van een cyberaanval te verkleinen zou het veiligheidsbeleid moeten bestaan uit:

• Leiderschap en governance - Bestuurders dienen in woord en daad te laten zien dat ze zich eigenaar voelen van het thema en laten zien dat ze de ermee samenhangende risico’s adequaat willen managen;
• Gedragsfactoren - Cybersecurity heeft niet (alleen) te maken met de juiste technische maatregelen, maar ook met het creëren van een cultuur waarin mensen alert zijn en zich bewust zijn van hoe zij kunnen bijdragen aan veiligheid;
• Information Risk Management - Een adequate aanpak voor alomvattend en effectief risicomanagement ten aanzien van informatievoorziening, ook in relatie tot partnerorganisaties;
• Business Continuity en Crisis Management - Een goede voorbereiding op eventuele incidenten en het vermogen om de impact van deze incidenten te minimaliseren. Dit omvat onder meer crisis- en stakeholdermanagement;
• Beheersmaatregelen en control - De implementatie van controle- en beheersingsmaatregelen in de organisatie om risico’s van cybersecurity te identificeren en de impact van incidenten te minimaliseren;
• Juridisch - Het voldoen aan wet- en regelgeving ten aanzien van informatiebeveiliging.