Security kan op verschillende manier aangevlogen worden.

Een paar zaken staan van te voren vast:

Je moet weten welk risico je wilt accepteren en welke risico's niet. Als je dat weet kan je een overall risico analyse uitvoeren en aan de hand daarvan je basisbeveiligingsniveau vast stellen. Je kunt ook gebruik maken van modellen als BIO (overheid, maar zeer geschikt voor allerlei organisaties). De BIO is weer een afgeleide van ISO 27002.

Kijk je naar de organisatie als geheel begin dan met het zogenaamde schillenmodel. Dat is toepasbaar op de toegang tot terreinen en gebouwen, maar ook op de beveiliging van de toegang tot IT diensten.

Gebruikelijk is het een Information Security Management System (ISMS) op te zetten. Wereldwijd is ISO 27001 daar de meest gebruikte norm voor. In 2014 publiceerde het National Institute for Standards and Technology (NIST) in de US echter een zeer goed framework, het Framework for Improving
Critical Infrastructure Cybersecurity,  dat in inmiddels ook als ISO 27103 beschikbaar is. Dit framework dat volgens een zeer logisch aanpak opgebouwd is helpt organisaties om veel beter inzicht te krijgen in hun organisatie, de risico's die ze lopen, de wijze van beveiligen en het herkennen en reageren op incidenten.

Dit loopt via de stappen Identify, Protect, Detect, Respond en Recover. Ieder van die vijf onderwerpen is onderverdeeld is categorieën waar achter subcategorieën hangen. Uiteindelijk wordt het de gebruiker dan gemakkelijk gemaakt door achter iedere subcategorie normen te hangen waarin adviezen worden gegeven hoe het daar genoemde onderwerp in de praktijk te beveilgingen.

Een voorbeeld:

Identify: Category management of cybersecurity risk; subcategorie ID.GV-2: Cybersecurity roles and responsibilities are coordinated and aligned with internal roles and external partners. En hoe pak je dat dan aan? Daarvoor geven de volgende normen uitsluitsel over:

  • CIS CSC 19,
  • COBIT 5 APO01.02, APO10.03, APO13.02, DSS05.04
  • ISA 62443-2-1:2009 4.3.2.3.3
  • ISO/IEC 27001:2013 A.6.1.1, A.7.2.1, A.15.1.1
  • NIST SP 800-53 Rev. 4 PS-7, PM-1, PM-2

Is bovenstaand abacadabra, neem dan contact op, ik leg het graag persoonlijk uit en kan u dan meteen vertellen wat daar toch zo goed aan is.

Wilt u meer weten over een security aanpak, download dan de gratis white paper

Of neem contact met mij op