Gert Lambers - 20 okt 2020

In onze blog ‘Wat is IT governance en waarom is het belangrijk?’ maakte u al kennis met het begrip. IT governance is bovendien steeds prominenter aanwezig in heel wat bedrijven. Niet vreemd, aangezien er voortdurend nieuwe wet- en regelgevingen opgezet worden om uw IT-infrastructuur en het gebruik van data te beschermen.

Om te starten met IT governance binnen uw bedrijf zijn er enkele belangrijke zaken waarmee u best rekening houdt. In deze blog vertellen we u niet alleen welke belangrijke aspecten u zeker moet opnemen in uw IT governance policies, maar geven we ook stap voor stap weer hoe u er best mee kan starten.

IT governance en policies

Alvorens u van start wil gaan met IT governance zijn er enkele belangrijke zaken die uw aandacht vereisen. Een goed functionerende IT governance bestaat uit specifieke beleidsmaatregelen of policies die stuk voor stuk een cruciaal aspect van IT binnen uw bedrijf vertegenwoordigen. Zo is communicatie omtrent data, gevoelige bedrijfs- en persoonlijke gegevens een belangrijke aandachtspunt, maar ook GDPR en in- en exitstrategieën van werknemers komen hierbij kijken. Het is dan ook van uiterst belang dat u bij het opstellen van deze verschillende policies de juiste verantwoordelijke personen betrekt. Denkt u bijvoorbeeld aan de juridische dienst, HR of IT-specialisten met een expertise in data security.

Communicatie policy

Niets is zo belangrijk en aanwezig in het bedrijfsleven dan communicatie. Dagelijks krijgen we immers een gigantische massa aan informatie en data te verwerken. We sturen deze gegevens ook door naar collega’s, externe partners, klanten, enzovoort. Het is dan ook niet vreemd dat er vanuit uw bedrijf een beleidsmaatregel opgesteld wordt om deze communicatiestromen via verschillende IT-infrastructuren op een veilige en correcte manier te laten verlopen. Zeker nu bedrijven steeds vaker opteren voor telewerk en BYOD (Bring Your Own Device) op kantoor.

Daarnaast is het ook steeds belangrijk dat alle medewerkers dezelfde huisstijl hanteren om een uniforme communicatie te behouden. Uw werknemers moeten dus ook steeds op de hoogte zijn van de meest recente huisstijl en toegang hebben tot deze bestanden.

GDPR-policy

Sinds mei 2018 moeten bedrijven in orde zijn met GDPR, General Data Protection Regulation, de wetgeving omtrent de bescherming van persoonsgegevens. Concreet betekent dit dat de manier waarop u en uw werknemers omgaan met de gegevens van klanten, prospecten, werknemers, sollicitanten, kortom alle mensen waarmee uw bedrijf te maken krijgt en dit heeft natuurlijk ook betrekking op uw IT. Het is dan ook belangrijk om samen met uw IT-specialisten en juridische afdeling te bekijken op welke manier u de nodige aanpassingen en policies moet doorvoeren om te voldoen aan deze recente wetgeving.

Bovendien is het essentieel dat het belang van GDPR en hoe iedereen deze regelgeving te allen tijde moet hanteren op regelmatige basis herhaald en benadrukt wordt. Voortdurende interne communicatie hierover is dan ook echt een must.

Beleidsvoering start en ontslag werknemers

Tot slot willen we ook even melding maken van een beleidsmaatregel waar u misschien niet meteen aan denkt, namelijk de policy rond het in dienst treden en uit dienst treden van werknemers met betrekking tot bedrijfsgevoelige informatie. Nieuwe werknemers moeten immers op een correcte manier toegang krijgen tot bepaalde noodzakelijke informatie en tools én toegang ontzegd worden wanneer ze uw bedrijf verlaten. Dit heeft niet alleen een impact op security van uw IT-infrastructuur, maar opnieuw ook op de juridische kant van zaken. Samenzitten met de betreffende dienstverantwoordelijken is dan ook hier geen overbodige luxe om een goede policy voor dit luik op te stellen.

Daarnaast moet u ook steeds de toegang tot alle systemen, mailbox en verschillende portals van bijvoorbeeld leveranciers blokkeren voor werknemers die uit dienst getreden zijn. Om ervoor te zorgen dat er geen waardevolle informatie vanuit mailverkeer verloren gaat, is het bovendien aangewezen om de mailbox van de werknemer uit dienst steeds een tijdje op te volgen en om te leiden naar die van een bevoegde andere werknemer. Zo voorkomt u enkele grote hindernissen in de continuïteit van bepaalde bedrijfsprocessen en de productiviteit van uw bedrijf.

Starten met IT governance

Met de hulp van bovenstaande methodologieën en frameworks kan u stap voor stap starten met het introduceren van IT governance in uw bedrijf. We overlopen samen met u de belangrijkste fasen.

Fase 1: De voorbereiding

Wanneer u start met het opzetten van een IT governance plan is het van groot belang dat u steeds verschillende stakeholders betrekt bij dit proces. Dit betekent niet alleen senior IT-managers, maar ook ervaren werknemers, klanten en partners. Het doel is immers om de business doeleinden te matchen met de juiste IT-strategie.

Bij de voorbereiding is het ook uiterst belangrijk om alle taken en verantwoordelijkheden helder te identificeren en te beschrijven. Dit geldt zowel voor het bestuur en management als IT-strategen en de rest van de IT-afdeling.

Ga tot slot na op welke manier de prioriteiten bepaald zullen worden, hoe IT resources toegewezen zullen worden en aan welke bevoegde personen.

Fase 2: De opstelling van een efficiënt actieplan

Om een effectief actieplan op te stellen is het essentieel om specifieke IT-issues en IT-plannen op de agenda te plaatsen. Zorg er ook steeds voor dat alle IT-doelstellingen op dezelfde lijn gebracht kunnen worden met de bedrijfsbehoeften. Benadruk hierbij altijd de mogelijke impact van risico’s binnen IT. En tenslotte: analyseer data en resultaten om de juiste conclusies te trekken. Heel wat bedrijven gaan helaas nog steeds te vaak af op veronderstellingen met alle gevolgen van dien.

Fase 3: Strategische doelstellingen

Verlies nooit de focus op uw strategische IT-doelstellingen. Maak een routemap aan voor alle belangrijke strategische IT-projecten op lange termijn.

Fase 4: Bekendmaking van het IT governance plan

Zoals dat gaat met alle nieuwe implementaties zijn deze maar zo efficiënt als de naleving ervan. Het is dan ook een cruciale laatste stap om alle stakeholders op de hoogte te stellen van het IT governance plan en uw medewerkers op te leiden in de naleving ervan.

Daarnaast bestaan er ook heel wat applicaties en tools om IT governance in uw bedrijf eenvoudiger te maken. Denkt u bijvoorbeeld aan de verschillende mogelijkheden voor governance binnen Microsoft 365.
 

Wenst u meer te weten over IT governance of bent u nieuwsgierig of uw IT-infrastructuur wel voldoet aan de verschillende normen en regelgeving bijvoorbeeld omtrent beveiliging? Vraag dan een Security Audit aan en kom te weten waar de zwakke schakels omtrent beveiliging zich bevinden in uw IT governance en hoe u dit het beste kan aanpakken.

Hoe veilig is uw ICT-infrastructuur? Vraag een Security Audit aan.