icon-arrow icon-check icon-mail icon-phone icon-facebook icon-linkedin icon-youtube icon-twitter icon-cheveron icon-download icon-instagram play close icon-arrow-uturn icon-calendar icon-clock icon-search icon-chevron-process icon-skills icon-knowledge icon-kite icon-education icon-languages icon-tools icon-experience icon-coffee-cup
Werken bij B-able
Blog 12/02/2019

Wat is nodig om informatiebeveiliging continu te verbeteren?

Improvement

De implementatie van informatiebeveiliging is geen eenmalige exercitie. Omgevingsfactoren en navenante bedreigingen en kwetsbaarheden die deze met zich mee kunnen brengen, veranderen continu. Hiermee kunnen dus ook andere risico’s voor de Core Business en (de bescherming van) de Kroonjuwelen binnen uw organisatie ontstaan.

Een risico analyse levert een actueel overzicht aan benoemde kwetsbaarheden en mitigerende maatregelen op, deze moeten wel ingevoerd en gecontroleerd worden. Hiervoor zijn 3 stappen noodzakelijk:

  1. Inrichten van een ISMS
  2. Opzetten van een procesaanpak
  3. Vastleggen van een programmaplan

1. Inrichten van een ISMS

Het inrichten van een Information Security Management Systeem  (ISMS) is de belangrijkste stap naar een continue grip, beheersing en verkleining van informatierisico’s in uw organisatie. Deze grip op de kritische informatie van een organisatie is van belang, zodat deze adequate beschermd kan worden en dit als competitief voordeel gecommuniceerd kan worden. Het is daarbij  belangrijk dat het ISMS naadloos aansluit bij de organisatie, zodat informatiebeveiliging een integraal onderdeel wordt van de bedrijfsvoering. De benadering van informatiebeveiliging als een beheerst proces is daarvoor een heel goed uitgangspunt.

2. Opzetten van een procesaanpak

In een, wat informatiebeveiliging betreft, volwassen organisatie, zie je in de praktijk dat het informatiebeveiligings-proces de zogenaamde Deming Cyclus doorloopt. Deze cycles bevat de fases Plan, Do, Check en Act.

Bij een ingericht ISMS, conform de norm ISO27001, resulteert zo’n beheerst proces in ieder geval in acties als vaststellen, implementeren, uitvoeren, controleren, beoordelen, bijhouden en verbeteren. 

Om het ISMS daadwerkelijk werkend te maken, maar vooral te houden, moeten er dus nogal wat activiteiten worden uitgevoerd. Tot en met de evaluatie in de Check fase is hiervan in de meeste organisaties nog wel sprake:  beleid is vastgesteld, verantwoordelijkheden belegd, en risico analyses zijn uitgevoerd.

Vaak zie ik dat het dan vervolgens toch hapert bij het opstellen en vaststellen van een concreet plan, waarin maatregelen en de wijze van implementatie staan gedefinieerd.

3. Vastleggen van een programmaplan

Het actuele overzicht van de uit te voeren werkzaamheden, ter implementatie van beveiligingsmaatregelen, is te kwalificeren als een verbeterplan. Dit plan voorzien van een voorblad met de titel Jaarplan Informatiebeveiliging 2015, en het een eigenaar geven, is een onmisbare stap naar een beheerste Act fase:  de maatregelen zijn benoemd, evenals de doorlooptijd en de “datum planning gereed”. De benoeming van verantwoordelijke actiehouders in de organisatie borgt tenslotte dat het de aandacht krijgt die het verdient!

Continue verbetering door continue aandacht

Het is niet efficiënt om te wachten op de eventuele jaarlijkse (interne) audit van de accountant of de toezichthouder. De organisatie is dan niet In Control. Het structureel kunnen sturen op de voortgang in een implementatietraject, door het continu kunnen meten wat de status is en waar moet worden bijgestuurd, is een optimale aanpak om het proces informatiebeveiliging in de Act fase concreet vorm te geven.

Mijn advies is de Act fase ieder kwartaal, maar liefst nog iedere maand, als vast agendapunt bij alle betrokkenen te agenderen en voor de bewaking ervan tooling in te zetten. Met name aansprekende visualisatie, in de vorm van een grafisch dashboard helpt ontzettend voor de beeldvorming, noodzaak en de juiste actie bereidheid bij alle betrokkenen.

overzicht blogs

Benieuwd wat de security-experts voor jouw organisatie kunnen betekenen? Neem contact op!