Menu

Compliance management is meer dan informatiebeveiliging

Door Cor Boes en Ron Witjes

De toenemende hoeveelheid data die organisaties verzamelen of produceren, verhoogt indirect ook de inspanning die moet worden gedaan om al die data goed te beheren. Daarbij gaat het niet alleen om het beveiligen van die data tegen gevaren van buitenaf, maar ook om bescherming van die data tegen risico’s vanuit de eigen organisatie en om het aantoonbaar voldoen aan op die data van toepassing zijnde wet- en regelgeving.

Daar komt bij, dat data op meerdere plekken kan staan en in toenemende mate ook in cloud-omgevingen wordt opgeslagen. Als gevolg van COVID-19 heeft die laatste ontwikkeling een grote vlucht genomen. Compliance management en, onderliggend, risk management zijn daarmee onderwerpen die terecht hoog op de agenda van organisaties staan. Compliance toepassen op systemen is daarbij de eerste stap, maar niet voldoende.

Drie belangrijke factoren

Laten we Microsoft 365 als voorbeeld nemen van een platform, of systeem, waarin data wordt opgeslagen en verwerkt. Met het Compliance Center daarbinnen, is een organisatie in staat om uitgebreide maatregelen te nemen op het gebied van risk management en het toepassen van controls om te voldoen aan wet- en regelgeving, zoals de AVG, of om te voldoen aan normeringen als ISO27001 en ISO27701. Compliance eisen aan het systeem, als plek waar data zich bevindt, zijn daarmee afgedekt.

Daarnaast zijn er nog twee factoren van invloed: de mensen in een organisatie en de processen binnen een organisatie. Wet- en regelgeving stellen eisen aan een organisatie, niet aan systemen. Datzelfde geldt voor externe normeringen als ISO/NEN. Zelfs als deze twee niet van toepassing zijn, geldt altijd dat een organisatie zijn eigen visie, beleid en informatiestrategie heeft, waaraan de medewerkers van die organisatie zich moeten houden en waaraan de processen dienen te voldoen.

Om hier een goede invulling aan te geven, is het zaak om de processen binnen een organisatie goed te analyseren? Welke informatie verwerken we? Met welk doel doen we dat? Wie heeft toegang tot die informatie en past dat bij de verantwoordelijkheden die een werknemer draagt? Communicatie is hierbij essentieel: waarom kiest uw organisatie voor actief compliance management? Is dat ingegeven vanuit eigen beleid, of vanuit wet- en regelgeving? Wat zijn de consequenties hiervan voor uw medewerkers? Moeten zij anders gaan werken, of anders omgaan met data en informatie? Heldere communicatie over het ‘waarom’ van het belang van compliance management en de consequenties die goed compliance management heeft voor medewerkers (het ‘wat’), is een van de sleutels tot het succes daarvan.

Risk management – voorbereiden op wat je niet weet

Een belangrijk element binnen compliance management, is risk management. Naast dat u als organisatie aantoonbaar in controle wilt zijn over al uw data die binnen uw organisatie aanwezig is, wilt u ook dat uw data niet ongeoorloofd de organisatie verlaat. Als organisatie loopt u daar een risico en dat risico moet worden geminimaliseerd.

De omvang van een risico wordt bepaald door twee elementen: de kans dat iets zich voordoet en de impact die dat heeft. Met name op het element ‘kans’, heeft u als organisatie wel degelijk invloed, ondanks dat het gaat over dingen die u niet weet. Als we even teruggaan naar Microsoft 365, dan geldt weer dat hierin de middelen aanwezig zijn, die u als organisatie in kunt zetten om de kans op ongeoorloofd omgaan met data sterk te verkleinen en daarmee het risico dat u loopt.

Waarom de Basis op Orde aanpak

Compliance management is meer dan informatiebeveiliging. Het is een complex vraagstuk, dat uitstijgt boven het controleren van systemen en applicaties. Toch is het goed mogelijk om gestructureerd naar goed compliance management te bewegen. Wij hebben de Basis op Orde aanpak ontwikkeld om samen met uw organisatie voor IT én business een Microsoft 365 compliance baseline te realiseren.

De Basis op Orde aanpak bestaat uit vier pijlers:

  • Informatiebeveiliging en governance
  • Management van interne risico’s
  • Ontdekken van en ingrijpen bij interne risico’s
  • Compliance management

Vanuit deze vier pijlers inventariseren we zowel de algemene maatregelen die u kunt nemen, als de maatregen die specifiek zijn voor uw organisatie. Daarbij gaan we uit van maatregelen die genomen kunnen worden zonder dat additionele licenties zijn vereist.

Meer weten over de Basis op Orde aanpak van Motion10

Wilt u meer weten over hoe u met de Basis op Orde aanpak van Motion10 een grote stap naar compliance kunt zetten en een Microsoft 365 compliance baseline realiseert? Lees hier meer over de Basis op Orde aanpak of neem contact op met Cor Boes, Business Consultant bij Motion10 of uw Accountmanager.