Evalueren van informatiebeveiliging

Geïdentificeerde tekortkomingen in een dergelijke assessment kunnen een krachtig instrument zijn in het bepalen van gebrek aan middelen in de vorm van adequaat personeel of benodigd budget die de effectiviteit van informatiebeveiliging negatief beïnvloeden. Echter, uit onze ervaring blijkt dat self assessments over het algemeen een positiever beeld geven van de situatie dan feitelijk het geval is.

Dit heeft als risico dat de ontvangen stuurinformatie voor het management en de informatiebeveiligingsfunctie niet volledig of niet betrouwbaar is. Het is veelal het lijnmanagement zelf dat de self assessment invult, welk lijnmanagement tegelijkertijd verantwoordelijk is voor de implementatie van gedefinieerde maatregelen.

Maar zoals blijkt uit het onderzoek zet het merendeel van de organisaties ook internal en external audit in als evaluatie middel. En de combinatie van self assessments en het uitvoeren van audits levert een zeer krachtig stuurmiddel op.

BRON: Martin Wijnmaalen, senior manager bij Ernst & Young EDP Audit