Hoe is de informatiebeveiliging binnen uw bedrijf geregeld? Veel Nederlandse bedrijven focussen op de technische kant. Oftewel: informatiebeveiliging gaat in eerste instantie over hackers, firewalls en antivirus software. Terwijl het essentieel is om breder te kijken. In dit artikel leest u over de juiste aanpak van uw informatiebeveiliging en de bijhorende training voor (IT) medewerkers.
Brede blik op informatiebeveiliging
Er bestaat een internationale norm voor informatiebeveiliging: de ISO 27000 serie. Deze norm hanteert een brede definitie voor informatiebeveiliging: namelijk die volgens het CIA Triad principe:
– Confidentiality (vertrouwelijkheid),
– Integrity (integriteit) en
– Availability (beschikbaarheid).
(bron: IBM)
Als een bedrijf het CIA Triad principe volgt, dan helpt dit om met een brede blik en op basis van risico’s te besluiten wat er nodig is om de informatiebeveiliging binnen het bedrijf op orde te krijgen en te houden. Sleutelwoorden zijn: Beleg, Samenhang, Maatwerk en Integreer.
1: Beleg (bij de business, niet bij IT)
Om informatiebeveiliging op de juiste manier te borgen is het belangrijk om de CISO rol (Chief Information Security Officer) bij de business onder te brengen. Laat vanuit deze rol de kaders en eisen vanuit de business bepalen en controleren. Dat zorgt ervoor dat de interne of externe IT-leveranciers vervolgens binnen deze kaders en eisen moeten werken. IT is dus niet leidend, maar volgend. De resultaten worden door de CISO gecontroleerd en aan de business gerapporteerd.
2: Samenhang
Voor een juiste invulling is samenhang tussen organisatie, processen en IT-maatregelen nodig. De basis voor informatiebeveiliging moet dus komen vanuit een brede risicoanalyse, met business perspectief. In zo’n brede analyse wordt vervolgens duidelijk welke risico’s voor de business niet acceptabel zijn en dus maatregelen (en investering) rechtvaardigen.
3: Maatwerk
Het is belangrijk om binnen uw bedrijf de taken en verantwoordelijkheden voor een goede informatiebeveiliging helder te beleggen. Neem zichtbare maatregelen die nodig zijn voor de business processen (binnen de context van het bedrijf). Houd er rekening mee dat er nooit sprake is van één oplossing: het is altijd maatwerk, passend bij uw bedrijf, op dat moment.
4: Integreer (met andere processen)
Uw informatiebeveiliging moet geïntegreerd zijn in de diverse bedrijfsprocessen. Op die manier zorgt u gegarandeerd voor de juiste aandacht voor techniek (IT), mensen (HRM) en gebouwen (Facility).
ISMS: Information Security Management System
De informatiebeveiliging richt u structureel in binnen organisatie, processen en techniek via een Information Security Management System (ISMS). Zo’n ISMS kan worden opgezet conform de ISO27001-norm. Op die manier heeft uw bedrijf de mogelijkheid om ook certificering te krijgen aan de hand van de ISO-norm. Daarmee maakt u aantoonbaar aan stakeholders zoals klanten, toezichthouders en wetgever, hoe u de informatiebeveiliging binnen uw bedrijf heeft opgetuigd.
Het uitgelezen moment voor een ISMS
De 2018-versie van ISO 27001 is deze zomer vrijgegeven. Dit is dus een uitgelezen moment om deze standaard te benutten om een toekomstvast ISMS voor uw organisatie in te richten. De ISO-norm is nu nog meer afgestemd op het gebruik van cloud diensten, om aan te sluiten op de dagelijkse praktijk anno 2018. Belangrijk is om de implementatie van een ISMS als project op te pakken binnen de organisatie. Alleen dan is de juiste verdeling van resources structureel beschikbaar, en beschik je over de besturing die nodig is.
Training ISMS voor uw eigen medewerkers
Vanuit Mirato kunnen wij u helpen met het vormgeven van een ISMS dat past bij uw bedrijf, en met het projectmatig implementeren ervan. Ook kunnen wij zorgen voor de training van uw medewerkers binnen dit kennisgebied, omdat het uiteindelijk uw eigen bedrijf moet zijn dat beschikt over kennis en kunde over informatiebeveiliging, op het niveau dat nodig is specifiek voor uw bedrijf. De training bieden we aan op vier niveaus: Introduction, Foundation, Lead Implementor, Lead Auditor. Heeft u interesse, laat dan uw reactie achter op LinkedIn of stuur ons een email en wij nemen contact met u op.
Volg Mirato Group op LinkedIn
Wilt u op de hoogte blijven van ISMS, IAM en andere IT-Security vraagstukken? Volg Mirato Group via Linkedin om op onze nieuwsitems en trainingen geattendeerd te worden.
