Security Management:
De basis van de informatiebeveiliging

Blixt.nl
Blixt.nl
Blixt.nl
Blixt.nl
Blixt.nl
Blixt.nl
Blixt.nl
Blixt.nl
Blixt.nl

Security Management…

is de basis waar het allemaal om draait.

Met “Simpel” implementeren van de beveiligingsmaatregelen uit een checklist (Annex-A ISO 27001) ben je er zeker niet.

Je moet je bedrijfsprocessen kennen.
Wat is mijn “core-business”? Heb ik personeel?
Een klein bedrijfje als voorbeeld: Een bedrijf ontwikkelt en verkoopt software en heeft tien medewerkers. Dan zouden de bedrijfsprocessen kunnen zijn:

  • Het ontwikkelen van software
  • Het verkopen van software
  • Het onderhouden van software (patch- en release management)
  • HR proces
  • Financieel proces

Die bedrijfsprocessen moeten beschreven worden.

De volgende stap is dat je als bedrijf moet nadenken over de risico’s die je wel- en niet wil accepteren. Die risico’s leg je vast in een risico-matrix.

Dan voer je per proces een risico analyse uit.
Daaruit komen beveiligingseisen en beveiligingsmaatregelen.
Je kijkt wat je al gedaan hebt en wat je nog moet doen om al je beveiligingsmaatregelen te implementeren. (De GAP-Analyse)

Hoe heb je momenteel je beveiliging ingericht? Gaat alles heel gestructureerd? Weet ieder wat te doen als er een (security) incident plaats vindt? Of zit dat in het hoofd van één of een paar personen? Wat als die niet beschikbaar zijn?

De volgende stap is het opzetten van  een risico dashboard op.
Daarin staan alle bekende risico’s, de oplossingen, wie doet wat en wanneer moet het klaar zijn.

ISO 27001 is een goed hulpmiddel maar niet erg pragmatisch.
ISO 27103, (NIST Cyber Security Framework, CSF) is daarin veel pragmatischer.
Bij het gebruik van CSF voldoe je nog steeds aan ISO 27001, maar pak je het veel logischer aan.

Maandelijks controleer je de voortgang van de te nemen beveiligingsmaatregelen.
Ieder kwartaal presenteer je de voortgang en eventuele nieuwe (niet spoedeisende) dreigingen en kwetsbaarheden.
Jaarlijks rapporteer je aan de directie hoe je er voor staat, en leg je een jaarplan voor ter beoordeling.

Klinkt dit overweldigend?
Neem dan contact op. Ik leg het graag verder uit.
Maar bedenk wel, ik leg het uit. Ik kan helpen om het gestructureerd en in redelijk korte tijd op te zetten. Maar uiteindelijk ben je als bedrijf toch zelf verantwoordelijk en moet je gewoon zelf de kennis in huis hebben/krijgen om dit zelf te onderhouden. Maar ik kan je er wel bij op weg helpen.

Uw security-management volledig onder controle

Van de werkvloer tot de cloud: Samen bouwen wij het fundament waarop u zorgeloos kunt ondernemen.
Zullen we samen uw weg naar ISO 27001 uitstippelen?
Plan een vrijblijvend adviesgesprek

• Binnen 24 uur een reactie • Geen verplichtingen • Gewoon een goed gesprek •