MBIS blog

MBIS blog

Nadenken over informatiebeveiliging: vooraf en bij veranderingen

Blogger: Ton Schilder op 5-dec-2017 11:47:22

MBIS_BlogImage_Nulmeting4.png


Inmiddels heeft u al kunnen lezen over heel wat onderwerpen die tijdens een nulmeting aan bod komen. Vandaag zoom ik in op 2 onderwerpen die een link hebben met de
leveranciersrelaties die ik in mijn vorige blog besprak.

Beheer van bedrijfsvoering

Dit is een redelijk technisch hoofdstuk uit de norm. Waar het om gaat: beheert u alle bedrijfsprocessen en informatiesystemen die van invloed zijn op informatiebeveiliging op een goede manier? Ook als u een deel van deze processen of systemen heeft uitbesteed aan een leverancier. Een belangrijk onderdeel van het beheer is wijzigingenbeheer, oftewel changemanagement. Zorg dat u bij grote veranderingen in uw organisatie een impactanalyse uitvoert waarbij ook een Security Officer betrokken is. Door alle relevante personen aan de voorkant bij een verandering te betrekken, zorgt u voor een integrale kijk op de zaak. Dat zorgt voor de juiste maatregelen en voorkomt vertraging tijdens het proces.

Voorbeeld van wijzigingenbeheer

Een onderdeel van een grote overheidsinstantie wilde een belangrijke verandering doorvoeren in haar proces. Er werd nog steeds een dvd gebrand met een rapportage waar een gemeente om had gevraagd. Vervolgens ging die dvd met de koerier mee naar de desbetreffende gemeente. Wat nou als gemeentes voortaan gewoon kunnen inloggen op de website en daar de rapportage downloaden? Een prima idee natuurlijk. Met een efficiënter en makkelijker proces als gevolg. Helaas was men vergeten om ook na te denken over een veilige opslag en de beveiligde verbinding die nodig is voor het inloggen en downloaden van de rapportages met persoonsgegevens. Dat zorgde op het allerlaatste moment voor een fikse vertraging.

Informatiesystemen

Bij een nulmeting kijkt men ook naar hoe u informatiesystemen aanschaft, ontwikkelt en onderhoudt. Denk na over de functionele en technische beveiligingseisen die u stelt als u een systeem aanschaft of zelf ontwikkelt. Hoe beschikbaar, vertrouwelijk en/of integer moet het systeem zijn? Steeds meer organisaties kopen een bestaand informatiesysteem in plaats van het zelf te ontwikkelen. Geef deze eisen dan mee bij de aanschaf en maak afspraken met de leverancier over bijvoorbeeld het onderhoud.

Tot slot

Ook dit blog laat weer zien dat de onderwerpen in een nulmeting met elkaar in verband staan. In mijn volgende blog zoom ik in op de fysieke kant van informatiebeveiliging. Want die kant zouden we soms bijna vergeten bij alle aandacht voor ICT-eisen …

Onderwerpen

Informatiebeveiliging