Contact NARIS
Contact
Email to
info@naris.com
ISMS

Bestuurders hebben veel grotere risk appetite qua informatiebeveiliging dan zij zichzelf realiseren.

 

In het jaarlijkse verantwoordingsonderzoek van de Algemene Rekenkamer krijgt IT en databeheer een prominentere plaats en terecht bestuurders, directies blijven het uitstellen. Hoe kan dat het zelfs na alle cyber aanvallen bij gemeenten en universiteiten het zo moeilijk blijft om aandacht te krijgen voor informatiebeveiliging. Begrijpen bestuurders dan niet dat ze daarmee bewust accepteren dat ze de organisatie zeer kwetsbaar maken? Tot op heden zijn er maar weinig organisaties die daadwerkelijk 10% van hun ICT uitgeven aan informatiebeveiliging. Dit terwijl er wel nieuwe software wordt aangeschaft of gemaakt om te voldoen aan de huidige tijd en wensen van de organisatie. Het dilemma tussen investeren in extra functionaliteit of investeren in veiligheid blijft volop aanwezig. Hoe vergroot je het bewustzijn rondom informatie beveiliging binnen je organisatie?

Een paar denkrichtingen om het risicobewustzijn bij de top van de organisatie te versterken.

  • Bepaal de risicobereidheid op de wet en regelgeving (o.a.. BIO) op meerdere niveaus. En begin bij de top. Welke risico’s wil zij accepteren en welke absoluut niet? Daarmee ontstaat snel ook het gesprek over de bijbehorende investeringen.
  • Kwantificeer de gevolgen als er daadwerkelijk data op straat ligt of je gehackt bent. Waterschappen hebben destijds ook uitgerekend dat het 300 miljard kost als Nederland onder water komt te staan.
  • Ga naar de voorkant; Zorg dat bij elke nieuwe extra functionaliteit informatie beveiliging meegenomen wordt, voordat het toegelaten wordt. Ditzelfde geldt ook voor toeleveranciers.
  • Begin klein. Zorg dat je vanuit je eigen kennis en ervaring de juiste set aan risico’s en controls kiest en vraag die uit in je organisatie, hierdoor kun je snel een eerste integraal beeld maken van de kwetsbaarheid op decentraal niveau.
  • Laat de activiteiten in de tijd zien. Laat zien welke aanbevelingen echt opgevolgd worden, maar laat ook zien waar de gaps blijven bestaan. Visualiseer dit soort activiteiten.
  • O ja… en koop voor elke manager het boek “het is oorlog maar niemand die het ziet” van Huib Modderkolk. Want hiermee wordt het risicobewustzijn van het management vergroot.
ISMS

Stappen op weg naar een ISMS

  1. Kies de normen die het fundament vormen en waar je op verder kan bouwen voor je Information Security Management Systeem (ISO 27001 en 27002, ISAE 3402, BIO voor overheden, BIC voor corporaties, AVG)
  2. Bepaal de overlap tussen de normen aan de hand van de controls
  3. Inventariseer de bestaande instrumenten en controls. Wat gaat goed & wat kan beter?
  4. Zorg voor dat iedereen dezelfde taal spreekt en weet waar het over gaat, dus vergeet dit vooral niet intern goed te communiceren, door middel van een taxonomie.
  5. Zorg voor je eigen mandaat en budget.
  6. Bepaal het eigenaarschap, of governance. Maak duidelijk dat het management gewoon verantwoordelijk blijft, gebruik hierbij 3 lines model.
  7. Kies een duidelijke insteek voor de organisatie; kijk je naar de norm per systeem? Per applicatie? Per service (ook buiten je organisatie grenzen)?
  8. De 1e keer zet je de basis neer, de daaropvolgende keren is het herhaling op basis van frequentie of op basis van veranderingen in de norm of de systemen.
  9. Maak incidentmanagement, e-learning integraal onderdeel voor iedereen die onderdeel is van je organisatie, maar vergeet niet bijvoorbeeld het personeel dat je inhuurt, je leveranciers

Implementatie stappen ISMS software aan de hand van Cobit-5

Qua stappenplan kun je gebruik maken van de Cobit-5 implementatie stappen.

  • Missie, visie en strategie: sturing, dit is de basis voor de inrichting en ook welke management-informatie er verzameld moet worden.
  • Processen; hoe werkt de medewerkers nu? Welke stappen, welke instrumenten, welke systemen en welke soorten risico’s (taxonomie)?
  • Organisatiestructuur: relatie tussen de business en de IT-organisatie, de mate van specialisatie en de span of control. Hoe wordt de eerste lijn ondersteund?
  • Organisatiecultuur; hoe is de cultuur en welke ankers kunnen we gebruiken om de organisatie.
  • Informatievoorziening: (Risk control framework) en gewenste dashboards op basis van eerdere stappen.
  • Hardware & software: Inrichting software om de informatie te verwerken en aan te bieden (Invoeren processen, key risk, controls)
  • Kennis en vaardigheden: communicatie, training en coaching van medewerkers.

Cobit-5 implementatie stappen