Berichten

Stelt u zich voor: een wereldwijd opererend bedrijf zit middenin een transitie naar een centraal gestuurde (global) Security, IT Service Management en Enterprise Architecture. Er spelen een aantal belangrijke vragen: Hoe stellen we de juiste prioriteiten? En hoe organiseren we deze transitie, zodat we de informatiebeveiliging goed inrichten? Lees hier over de aanpak die wij adviseren.

Het voorbeeld hierboven is een recente klantvraag die bij Mirato Group binnen kwam. Deze klant hebben wij ondersteund in het professionaliseren van hun informatiebeveiliging door een interne audit voor hen uit te voeren. Met de ISO/IEC 27001-norm als uitgangspunt. Gelukkig komt ‘Informatiebeveiliging’ de laatste jaren steeds hoger op de agenda van menig directielid te staan. Iedere dag zien we de nieuwsberichten over hacks, datalekken, ongeoorloofd gebruik en verlies van privacy gegevens.

Waarom een algemene norm als basis gebruiken een goed idee is:

Het is (te) makkelijk om de verantwoordelijkheid voor informatiebeveiliging af te schuiven op de technische infrastructuur, ofwel ‘de IT’. De realiteit is dat slechts een deel samenhangt met Informatietechnologie (IT). Organisatie en mens zijn van evenveel of zelfs meer  invloed op de informatiebeveiliging. In toenemende mate kiezen bedrijven ervoor om door middel van ISO/IEC 27001-certificering aan zichzelf en de buitenwereld te tonen dat zij de controle nemen over hun informatiebeveiliging. Die keuze komt voort uit de snelle groei van opgeslagen gegevens en de groeiende waarde van die data, gecombineerd met de cyberaanvallen, data hijacking en andere bedreigingen. Steeds meer bedrijven vragen aan hun leveranciers en partners onafhankelijk aan te tonen wat men doet aan informatiebeveiliging. De eisen die men aan leveranciers (en aan zichzelf) stelt worden steeds hoger en formeler.

Onvoldoende informatiebeveiliging is een bedrijfsrisico

ISO/IEC 27001 is een ISO-standaard voor informatiebeveiliging. Deze norm kan worden toegepast op iedere organisatie, ongeacht type, omvang en doelstelling. De norm bepaalt aan welke eisen een Information Security Management System (ISMS) moet voldoen. Er is een duidelijke relatie tussen de algemene bedrijfsrisico’s en het ISMS van een organisatie! Feitelijk is de norm dus eerder bedrijfskundig dan IT-georiënteerd. Thema’s zoals organisatie, personeel, fysieke beveiliging, leveranciers en risicomanagement zijn een belangrijk onderdeel van de norm.

Gegevens van klanten en medewerkers beschermen

ISO-certificering hoeft geen ‘doel op zich’ te zijn. Het volgen van de stappen die nodig zijn om tot certificering te komen, zijn echter voor iedere organisatie zinvol. Het certificaat is voornamelijk een stevig bewijs dat uw organisatie – en uw medewerkers – zich committeert aan de industriestandaard voor informatiebeveiliging. Het bewijst ook dat u de gegevensbescherming van uw klanten en medewerkers serieus neemt en op orde hebt. Uw organisatie garandeert de vertrouwelijkheid van gegevens en ook de integriteit en beschikbaarheid ervan.

Stappen om te komen tot ISO 27001-certificering:

In het afgelopen jaar heeft Mirato verschillende klanten – van MKB tot beursgenoteerd – geholpen met de voorbereiding, implementatie en behalen van de ISO 27001-certificering. Die ondersteuning is afhankelijk van de situatie bij uw organisatie. Dit kunnen de volgende stappen zijn:

  • Nulmeting Informatiebeveiliging: wat is de actuele status (bijvoorbeeld aan de hand van interne interviews);
  • Bepalen context en scope van het ISMS;
  • Uitvoeren Business Impact Analyse (BIA) en risico inventarisaties;
  • Opstellen informatiebeveiligingsbeleid;
  • Opstellen plan van aanpak om de ISO27001 te implementeren;
  • Projectmanagement en begeleiding bij de uitvoering van het project;
  • Consultancy leveren bij opstellen en implementatie van de te nemen maatregelen;
  • Uitvoeren interne of externe audits als onderdeel van de certificering;
  • Uitvoeren audits bij toeleveranciers;
  • Meehelpen oplossen van gebreken die bij een in- of externe audit zijn geconstateerd;
  • Klankbord en expertrol, eventueel in de vorm van CISO as a Service.

Voorbeeld: het belang van scope

Ter illustratie geven we een voorbeeld: het vaststellen van de scope (hierboven stap 2). Dit is een belangrijke stap die organisaties vaak overslaan. We zeggen wel eens: “U kunt niet in één dag volwassen worden.” Bepaal vooraf wat de  belangrijkste bedrijfsprocessen zijn qua informatiebeveiliging in uw organisatie. Stel scope en context vast, en begin. Herhaal dit net zo lang totdat u klaar bent, en zorg er ondertussen voor dat de informatiebeveiliging die u al hebt geïmplementeerd, ook wordt onderhouden.

Meer informatie

Wilt u meer informatie? Neem contact op met Leon van den Langenberg of Wim Luursema.

Op de hoogte blijven? Volg Mirato Group via LinkedIn.

Hoe is de informatiebeveiliging binnen uw bedrijf geregeld? Veel Nederlandse bedrijven focussen op de technische kant. Oftewel: informatiebeveiliging gaat in eerste instantie over hackers, firewalls en antivirus software. Terwijl het essentieel is om breder te kijken. In dit artikel leest u over de juiste aanpak van uw informatiebeveiliging en de bijhorende training voor (IT) medewerkers.

Brede blik op informatiebeveiliging

Er bestaat een internationale norm voor informatiebeveiliging: de ISO 27000 serie. Deze norm hanteert een brede definitie voor informatiebeveiliging: namelijk die volgens het CIA Triad principe:
– Confidentiality (vertrouwelijkheid),
– Integrity (integriteit) en
– Availability (beschikbaarheid).

CIA-Trias principe

(bron: IBM)

Als een bedrijf het CIA Triad principe volgt, dan helpt dit om met een brede blik en op basis van risico’s te besluiten wat er nodig is om de informatiebeveiliging binnen het bedrijf op orde te krijgen en te houden. Sleutelwoorden zijn: Beleg, Samenhang, Maatwerk en Integreer.

1: Beleg (bij de business, niet bij IT)

Om informatiebeveiliging op de juiste manier te borgen is het belangrijk om de CISO rol (Chief Information Security Officer) bij de business onder te brengen. Laat vanuit deze rol de kaders en eisen vanuit de business bepalen en controleren. Dat zorgt ervoor dat de interne of externe IT-leveranciers vervolgens binnen deze kaders en eisen moeten werken. IT is dus niet leidend, maar volgend. De resultaten worden door de CISO gecontroleerd en aan de business gerapporteerd.

2: Samenhang

Voor een juiste invulling is samenhang tussen organisatie, processen en IT-maatregelen nodig. De basis voor informatiebeveiliging moet dus komen vanuit een brede risicoanalyse, met business perspectief. In zo’n brede analyse wordt vervolgens duidelijk welke risico’s voor de business niet acceptabel zijn en dus maatregelen (en investering) rechtvaardigen.

3: Maatwerk

Het is belangrijk om binnen uw bedrijf de taken en verantwoordelijkheden voor een goede informatiebeveiliging helder te beleggen. Neem zichtbare maatregelen die nodig zijn voor de business processen (binnen de context van het bedrijf). Houd er rekening mee dat er nooit sprake is van één oplossing: het is altijd maatwerk, passend bij uw bedrijf, op dat moment.

4: Integreer (met andere processen)

Uw informatiebeveiliging moet geïntegreerd zijn in de diverse bedrijfsprocessen. Op die manier zorgt u gegarandeerd voor de juiste aandacht voor techniek (IT), mensen (HRM) en gebouwen (Facility).

ISMS: Information Security Management System

De informatiebeveiliging richt u structureel in binnen organisatie, processen en techniek via een Information Security Management System (ISMS). Zo’n ISMS kan worden opgezet conform de ISO27001-norm. Op die manier heeft uw bedrijf de mogelijkheid om ook certificering te krijgen aan de hand van de ISO-norm. Daarmee maakt u aantoonbaar aan stakeholders zoals klanten, toezichthouders en wetgever, hoe u de informatiebeveiliging binnen uw bedrijf heeft opgetuigd.

Het uitgelezen moment voor een ISMS

De 2018-versie van ISO 27001 is deze zomer vrijgegeven. Dit is dus een uitgelezen moment om deze standaard te benutten om een toekomstvast ISMS voor uw organisatie in te richten. De ISO-norm is nu nog meer afgestemd op het gebruik van cloud diensten, om aan te sluiten op de dagelijkse praktijk anno 2018. Belangrijk is om de implementatie van een ISMS als project op te pakken binnen de organisatie. Alleen dan is de juiste verdeling van resources structureel beschikbaar, en beschik je over de besturing die nodig is.

Training ISMS voor uw eigen medewerkers

Vanuit Mirato kunnen wij u helpen met het vormgeven van een ISMS dat past bij uw bedrijf, en met het projectmatig implementeren ervan. Ook kunnen wij zorgen voor de training van uw medewerkers binnen dit kennisgebied, omdat het uiteindelijk uw eigen bedrijf moet zijn dat beschikt over kennis en kunde over informatiebeveiliging, op het niveau dat nodig is specifiek voor uw bedrijf. De training bieden we aan op vier niveaus: Introduction, Foundation, Lead Implementor, Lead Auditor. Heeft u interesse, laat dan uw reactie achter op LinkedIn of stuur ons een email en wij nemen contact met u op.

Volg Mirato Group op LinkedIn

Wilt u op de hoogte blijven van ISMS, IAM en andere IT-Security vraagstukken? Volg Mirato Group via Linkedin om op onze nieuwsitems en trainingen geattendeerd te worden.