Onze aanpak op Information Security
Stap voor stap naar meer volwassenheid
De CISO (Chief Information Security Officer) is als het ware de risicomanager op het gebied van informatiebeveiliging. Het bestuur van de organisatie is zelf verantwoordelijk en bepaalt de gewenste risicobereidheid en het gewenste niveau van volwassenheid op het gebied van informatiebeveiliging. Uiteraard heeft de IT-manager daarin ook een belangrijke rol en is een belangrijke sparringpartner. Wij zien onze rol als ‘2nd line of defense’. Onze aanpak kent de volgende kenmerken:
Integratie in de governance
Chaos is de vijand van security. Informatiebeveiliging verschilt van andere vormen van risicobeheersing door de complexiteit van ICT-systemen, de omvangrijkheid van normenkaders en de vereiste kennis. Het is een specifieke tak van sport, maar een gestructureerde aanpak blijft evenzeer essentieel. Onze kennis en ervaring op het gebied van governance en risicobeheersing kunnen u helpen om structuur en overzicht te brengen. Vanuit onze achtergrond hanteren wij een logische aanpak die uitgaat van processen, risico’s en controls (interne controleraamwerk) en een vertaling van risicobereidheid en normenkaders naar een helder plan van aanpak. Deze logische en heldere aanpak zorgt voor meer inzicht en een beter bewustzijn, waardoor het bestuur meer grip gaat krijgen op informatiebeveiliging.
Specifieke deskundigheid
Voordat wij met onze dienstverlening zijn gestart, zijn we eerst gaan studeren. Onze collega’s zijn opgeleid met een HBO- opleiding in Security Management, als CISA en we studeren verder, onder meer voor certificering als CISM (certified information security manager). Ook werven we technische expertise en desnoods huren we onderdelen in. Vanuit InAudit Information Security nemen we kennis en ervaring serieus en zullen we hierin blijven investeren. Onze deskundigheid is anders dan van veel technisch-georièˆnteerde specialisten. Voor ons zijn zaken als uw normenkader, uw informatiebeveiligingsbeleid, risicoanalyse en interne beheersing het vertrekpunt. De techniek volgt daaruit.
Een praktische aanpak: first things first
Door onze aanpak die begint met het informatiebeveiligingsbeleid en de risicoanalyse die daaruit volgt kunnen we vrij snel de juiste prioriteiten voorop stellen en voorkomen we dat er veel tijd en geld verdwijnt in een soort ‘technology push’ van security producten. Na (grote) incidenten zijn dit vaak de belangrijkste vragen:
- Is er een effectieve incident response geregeld (en werkt deze)?
- Zijn er effectieve back-up en recovery procedures zodat snel kan worden herstart?
- Wanneer is het incident ontstaan en is dit tijdig gesignaleerd?
- Was de toegangsbeveiliging effectief (gegeven de risicobereidheid van de organisatie)?
Als grote incidenten naar buiten komen en de oorzaken daarvan, dan blijken toch vaak betrekkelijk eenvoudige zwaktes doorslaggevend te zijn geweest. Daarom is daar onze aanpak op gericht: “first things first”.
Heldere communicatie
De wereld van de governance-organen en de wereld van de ICT-technologie hebben soms moeite om elkaar te verstaan. Met name in de hoek van de technologie met zijn stormachtige ontwikkelingen en vele afkortingen is het als bestuurder het gevoel te hebben ‘in control’ te zijn. Daarin heeft de CISO een belangrijke rol. De CISO moet de taal van beide werelden spreken en het bestuur aan de hand van eenvoudige presentaties en rapportages laten zien waar de organisatie staat qua volwassenheid.
Focus op bewustzijn en de motivatie van mensen
“Het grootste IT-beveiligingsrisico zit tussen het toetsenbord en de bureaustoel”. Hoewel hier best nog wel wat op te dingen is, is het zeker zo dat de menselijke factor bij veel incidenten doorslaggevend blijkt te zijn. Daarbij denken we overigens niet alleen aan medewerkers, maar ook aan bestuurders die verzuimen om voldoende te investeren in informatiebeveiliging. Binnen InAudit zijn ook gedragsdeskundigen werkzaam die u kunnen helpen met het verbeteren van het risicobewustzijn en het vertalen van beveiliging naar bewuster en veiliger gedrag.
.
