Evalueren van informatiebeveiliging

30 april 2008

Ten tweede vertrouwen organisaties met name op audits en self-assessments om de effectiviteit van hun informatiebeveiliging te evalueren. Meer dan 60% van de organisaties geeft hierbij aan self assessments als een effectief middel te zien om deze effectiviteit te bepalen. Hierbij worden het eigen beleid en in de markt beschikbare standaarden als criteria gehanteerd voor het uitvoeren van de self assessment.

Geïdentificeerde tekortkomingen in een dergelijke assessment kunnen een krachtig instrument zijn in het bepalen van gebrek aan middelen in de vorm van adequaat personeel of benodigd budget die de effectiviteit van informatiebeveiliging negatief beïnvloeden. Echter, uit onze ervaring blijkt dat self assessments over het algemeen een positiever beeld geven van de situatie dan feitelijk het geval is.

Dit heeft als risico dat de ontvangen stuurinformatie voor het management en de informatiebeveiligingsfunctie niet volledig of niet betrouwbaar is. Het is veelal het lijnmanagement zelf dat de self assessment invult, welk lijnmanagement tegelijkertijd verantwoordelijk is voor de implementatie van gedefinieerde maatregelen.

Maar zoals blijkt uit het onderzoek zet het merendeel van de organisaties ook internal en external audit in als evaluatie middel. En de combinatie van self assessments en het uitvoeren van audits levert een zeer krachtig stuurmiddel op.

BRON: Martin Wijnmaalen, senior manager bij Ernst & Young EDP Audit

Redactie FM