
Bestuurders hebben veel grotere risk appetite qua informatiebeveiliging dan zij zichzelf realiseren.
In het jaarlijkse verantwoordingsonderzoek van de Algemene Rekenkamer krijgt IT en databeheer een prominentere plaats en terecht bestuurders, directies blijven het uitstellen. Hoe kan dat het zelfs na alle cyber aanvallen bij gemeenten en universiteiten het zo moeilijk blijft om aandacht te krijgen voor informatiebeveiliging. Begrijpen bestuurders dan niet dat ze daarmee bewust accepteren dat ze de organisatie zeer kwetsbaar maken? Tot op heden zijn er maar weinig organisaties die daadwerkelijk 10% van hun ICT uitgeven aan informatiebeveiliging. Dit terwijl er wel nieuwe software wordt aangeschaft of gemaakt om te voldoen aan de huidige tijd en wensen van de organisatie. Het dilemma tussen investeren in extra functionaliteit of investeren in veiligheid blijft volop aanwezig. Hoe vergroot je het bewustzijn rondom informatie beveiliging binnen je organisatie?

Stappen op weg naar een ISMS
- Kies de normen die het fundament vormen en waar je op verder kan bouwen voor je Information Security Management Systeem (ISO 27001 en 27002, ISAE 3402, BIO voor overheden, BIC voor corporaties, AVG)
- Bepaal de overlap tussen de normen aan de hand van de controls
- Inventariseer de bestaande instrumenten en controls. Wat gaat goed & wat kan beter?
- Zorg voor dat iedereen dezelfde taal spreekt en weet waar het over gaat. Dus vergeet dit vooral niet intern goed te communiceren door middel van een taxonomie.
- Zorg voor je eigen mandaat en budget.
- Bepaal het eigenaarschap, of governance. Maak duidelijk dat het management gewoon verantwoordelijk blijft. Gebruik hierbij 3 lines model.
- Kies een duidelijke insteek voor de organisatie; kijk je naar de norm per systeem? Per applicatie? Per service (ook buiten je organisatie grenzen)?
- De 1e keer zet je de basis neer, de daaropvolgende keren is het herhaling op basis van frequentie of op basis van veranderingen in de norm of de systemen.
- Maak incidentmanagement, e-learning integraal onderdeel voor iedereen die onderdeel is van je organisatie maar vergeet niet bijvoorbeeld het personeel dat je inhuurt, je leveranciers
Implementatie stappen ISMS software aan de hand van Cobit-5
Qua stappenplan kun je gebruik maken van de Cobit-5 implementatie stappen.
- Missie, visie en strategie: sturing. Dit is de basis voor de inrichting en ook welke management-informatie er verzameld moet worden.
- Processen; hoe werkt de medewerkers nu? Welke stappen? Welke instrumenten? Welke systemen? Welke soorten risico’s (taxonomie)?
- Organisatiestructuur: relatie tussen de business en de IT-organisatie, de mate van specialisatie en de span of control. Hoe wordt de eerste lijn ondersteund?
- Organisatiecultuur; hoe is de cultuur en welke ankers kunnen we gebruiken om de organisatie.
- Informatievoorziening: (Risk control framework) en gewenste dashboards op basis van eerdere stappen.
- Hardware & software: Inrichting software om de informatie te verwerken en aan te bieden (Invoeren processen, key risk, controls)
- Kennis en vaardigheden: communicatie, training en coaching van medewerkers.
Cobit-5 implementatie stappen