Helaas…dit is een droom. 100% beveiliging kan niet en bestaat niet;
het is een utopie en het streven ernaar alleen al is ongewenst vanuit
kostenoogpunt. Voor de informatiebeveiliging, gebaseerd op de ISO 27001 of
NEN7510 norm, gelden een aantal eenvoudige basisprincipes:
·
De directie is
verantwoordelijk.
·
Bedrijfsprocessen
zijn in control.
·
Wetgeving wordt
nageleefd (bijvoorbeeld WBP).
·
Er is continue
een verbetercyclus actief (Plan-Do-Check-Act).
·
Zeg wat je
doet; doe wat je zegt en laat zien dat je gedaan hebt wat je hebt gezegd.
Naast deze basisprincipes zijn er nog een tweetal voor
informatiebeveiliging specifieke eisen:
·
Bepaal het
risicoprofiel van uw organisatie.
·
Selecteer
maatregelen uit de best practices van ISO 27002/NEN7510, volgens het principe
‘Pas toe of leg uit’.
De directieverantwoordelijkheid is hierbij cruciaal. De directie is
verantwoordelijk en de directie heeft daarom ook de bevoegdheid om de lat voor
de informatiebeveiliging op de goede hoogte te leggen, afgestemd op het
risicoprofiel van de organisatie. Het is dan ook niet een kwestie van wat u kunt
beveiligen, het gaat erom wat u wilt beveiligen. En omdat u een
verbetercyclus heeft, is het niet nodig om nu onmiddellijk alle maatregelen in
te voeren. Dit kan volgens een meerjarenplan. U bepaalt dus als directie hoe
hoog u de lat legt. U richt het basis beveiligingsniveau goed in en bewaakt de
naleving hiervan. Alleen voor de Kroonjuwelen geldt hoger beveiligingsniveau.
Een beveiliging van de Basis op 60% en de Kroonjuwelen op 98% is beter dan
alles beveiligen op 80%. Het is onnodig om lage risico's streng te gaan
beveiligen. Denk aan de vergelijking om 'stalen palen onder water tegen brand
te verzekeren…'. De risico’s die u redelijkerwijs niet wilt of kunt voorkomen,
brengt u onder in een business continuity plan.
Bij de uitvoering van een informatiebeveiliging project krijgt u te
maken met een risico analyse voor het bepalen van het risicoprofiel van uw
organisatie. Een risico analyse kent vier hoofddoelen, te weten:
1.
Identificeren
van de waarde van de bedrijfsmiddelen, ook wel het bepalen van de Kroonjuwelen.
2.
Vaststellen
van de kwetsbaarheden en dreigingen.
3.
Vaststellen
van het risico bij werkelijkheid worden van de dreigingen.
4.
Vinden van het
evenwicht tussen kosten van het incident (schade) en de kosten van de
maatregelen.
Er zijn verschillende methoden bekend voor het uitvoeren van een
risico analyse ten behoeve van de informatiebeveiliging. Eén hiervan is de
pragmatische methode MAPGOOD. U bepaalt de risico's voor de gebieden
Mens-Apparatuur-Programmatuur-Gegevens-Omgeving-Organisatie-Diensten.
Deze analyse wordt uitgevoerd op informatie-elementen, en/of -domeinen
samen met de proces- en gegevenseigenaren dat als voordeel heeft dat zij zich
betrokken gaan voelen en daarmee ook mede verantwoordelijk worden voor het
slagen van dit project.
Het bewustwordingsproces is een belangrijke factor en mag niet
onderschat worden. U kunt een dergelijke analyse doen voor één
informatiesysteem of voor de gehele informatievoorziening van uw organisatie.
inview heeft kennis en ervaring in huis om een
informatiebeveiliging project uit te voeren. Onze aanpak is transparant en
bestaat globaal uit de volgende stappen:
1.
Wij starten
met een pre-audit van uw organisatie. Voor de uitvoering van deze audit hebben
wij een samenwerking met een onafhankelijke en onpartijdige organisatie voor
het uitvoeren van audits en certificeringen. Het resultaat van deze pre-audit
is een beeld van de bestaande situatie met inzicht in de 'witte vlekken' van de
informatiebeveiliging.
2.
Op basis van
de resultaten van de pre-audit stellen we een plan van aanpak op en starten wij
gezamenlijk met de directie en management het bewustwordingsproces.
3.
Vervolgens
wordt de scope van het project vastgesteld en wordt begonnen met het opstellen
van het informatiebeveiligingsbeleid.
4.
Daarna wordt
de risico analyse gehouden en wordt een plan voor de implementatie van het
Information Security Management System (ISMS) aan de directie ter goedkeuring
voorgelegd.
5.
Na goedkeuring
gaan we over tot de implementatie van het ISMS, wat uiteindelijk zal leiden tot
het verkrijgen van het ISO27001 of NEN7510 certificaat.
Tot slot.
Is dit nu allemaal echt noodzakelijk? Lopen wij echt veel gevaar?
Die vraag kunt u alleen zelf beantwoorden voor uw eigen organisatie. Neem
bij uw besluitvorming over de informatiebeveiliging eens in overweging wat de
schade zal zijn als er medische informatie van patiënten op straat komt te
liggen. Of de personeelsdossiers van uw eigen personeel? Of bedrijfsinformatie
die vanuit concurrentie belang niet openbaar mag worden. Of…?
Directie, u bent aan zet.
Geen opmerkingen:
Een reactie posten