MBIS blog

MBIS blog

4 pijlers als onmisbare basis voor informatiebeveiliging

Blogger: Ton Schilder op 24-okt-2017 10:32:40

4 pijlers als onmisbare basis voor informatiebeveiliging

Met welke verbeterpunten kunt u aan de slag? Door een nulmeting krijgt u inzicht in de huidige stand van zaken van de informatiebeveiliging in uw organisatie. Zelf voer ik regelmatig health checks uit voor diverse organisaties. Die kennis deel ik graag met u. Dit is het eerste blog in een blogserie over onderwerpen die bij een nulmeting aan bod komen. In dit blog beschrijf ik 4 onderwerpen die inzicht geven in de wat mij betreft onmisbare basis voor informatiebeveiliging in uw organisatie.

ISO27002, de norm voor nulmeting

Een nulmeting is gebaseerd op de internationale standaardnorm  ISO27002. De meeste branches hebben hier hun eigen afgeleide van. Bijvoorbeeld de Baseline Informatiebeveiliging (woning) Corporaties (BIC). In de norm staan een aantal hoofdstukken met onderwerpen en gebieden in uw organisatie die u checkt bij een nulmeting.

1. Risicomanagement

Weet u niet wat de risico’s zijn binnen uw organisatie? Dan kunt u ze ook niet goed managen. Daarom is het allereerst belangrijk dat de directie en de proceseigenaren bepalen wat de risico’s zijn. Het is belangrijk om samen in kaart te brengen wat de belangrijkste informatie en systemen zijn in uw organisatie (de kroonjuwelen). Vervolgens kunt u bepalen welke risico’s u op die gebieden loopt. Wat gebeurt er bijvoorbeeld als gegevens openbaar worden? Wat gebeurt er als een systeem een dag lang uitvalt? Op basis van de geformuleerde risico’s kunt u gezamenlijk bepalen welke risico’s acceptabel zijn en bij welke risico’s u maatregelen neemt. Zo zorgt u ervoor dat u onderbouwde beslissingen neemt over de maatregelen.

2. Aanpak van informatiebeveiliging

Informatiebeveiliging is een onderwerp waar u nooit klaar mee bent. Het is een continu proces. Daarom vraagt het ook om een procesbenadering. Ik adviseer mijn klanten om informatiebeveiliging in te richten als een managementsysteem: plan – do – check – act. Mijn ervaring is dat er bij kleinere organisaties vaak geen aanpak is. De activiteiten rondom informatiebeveiliging hangen als los zand aan elkaar. Richt het in als managementsysteem en stel regelmatig bij. Net zoals u doet met andere cruciale processen binnen uw organisatie. Ook voor informatiebeveiliging geldt een aanpak via een continue verbetercyclus.

3. Beleid over informatiebeveiliging

Bij veel organisaties zie ik dat bepaalde (technische) maatregelen soms al met gezond verstand zijn genomen. Bewust of onbewust. Maar er staat vaak nog niets op papier. Met beleid legt u het fundament voor informatiebeveiliging. U formuleert in beleid waarom u doet wat u doet en hoe u informatiebeveiliging inricht. Dit vormt een strategische en richtinggevende intentieverklaring van de directie. Is er geen beleid in een organisatie? Dan is het ook lastig om richting te geven. Juist daarom kunt u beleid ook als een mooi startpunt zien. Het beleid toont het commitment van het management. Daarbij komt dat u bij een audit niet wegkomt met alleen een werkend proces … Toch maar op papier zetten dus!

4. Organisatie van informatiebeveiliging

Wie is het aanspreekpunt als het gaat om informatiebeveiliging? Informatiebeveiliging moet van iemand zijn. Zo voorkomt u dat men achterover leunt, er niets gebeurt in uw organisatie. Bij grote organisaties zijn er vaak volledige fte’s beschikbaar. Bijvoorbeeld voor een security officer. Maar wat als uw organisatie kleiner is? Ik zie kleinere organisaties er vaak mee worstelen om informatiebeveiliging op de agenda te houden. Mijn advies? Bedeel de rol toe aan iemand in uw organisatie. En ga er vooral pragmatisch mee om. Wie heeft affiniteit met het onderwerp? Een controller kan geschikt zijn voor de rol. Of een informatie- of it-manager. Ik denk vaak met klanten mee wie de rol het beste op zich kan nemen. En bedenk wel: informatiebeveiliging is van iedereen. Het management blijft verantwoordelijk. Maar iemand als aanspreekpunt, coördinator en regisseur is een vereiste om het onderwerp op de agenda te houden!

Andere onderwerpen uit de nulmeting

Zoals ik al schreef: dit zijn wat mij betreft de belangrijkste onderwerpen voor de basis van informatiebeveiliging. Maar natuurlijk komt er nog veel meer bij kijken. Houd de website in de gaten voor mijn volgende blog. Daarin maak ik een begin met specifieke onderwerpen die we tijdens een nulmeting onder de loep nemen.