Een volwassenheidsonderzoek kijkt uiteraard ook hoe effectief het beveiligingsbeleid uitgevoerd wordt, maar streeft dat niet als primair doel na. Een volwassenheidsonderzoek kijkt veel meer naar het “hoe” hebben we de maatregelen geïmplementeerd.
Het volwassenheidsonderzoek laat u zien waar hiaten en kwetsbaarheden kunnen bestaan in uw huidige systemen en procedures. In de meer dan 25 jaar dat ik dit doe, heb ik talloze redenen gezien voor het niet naleven van bestaande beveiligingsprocedures. Soms omzeilen medewerkers maatregelen voor het gemak of als ze denken dat ze zonder deze maatregelen productiever kunnen zijn. Andere keren is er weerstand tegen verandering of is het gewoon vergeetachtigheid of onvoorzichtigheid.
Het volwassenheidsonderzoek kan vooral nuttig zijn voor het standaardiseren van beleid en procedures.
Methodiek
Blixt maakt in de basis voor een security audit gebruik van de ISO 27001 en ISO 27002 normen, maar kan u ook het NBA-Lio/Norea volwassenheidsmodel aanbieden.
Het doel hiervan is om de organisatie enerzijds niet te veel te belasten en anderzijds toch in redelijk korte tijd een goed beeld te krijgen over de security situatie binnen de organisatie. Het model kan gebruikt worden om inzicht te krijgen in het volwassenheidsniveau van de security. Het model kan ook, door naar bewijsmateriaal te vragen, als een audit dienst doen. In de praktijk is gebleken dat het voor de betrouwbaarheid van de uitkomsten van het onderzoek zeker aan te bevelen is om ook naar bewijsmateriaal te vragen
Binnen het model zijn op ISO 27002 gebaseerde aandachtsgebieden te onderscheiden, waarbij bovendien de generieke doelstelling van het betreffende aandachtsgebied is beschreven. Een uitgebreide eindrapportage geeft u een helder inzicht over het volwassenheidsniveau van de beveiliging van het onderzochte organisatie onderdeel, alsmede handvatten om prioriteiten te stellen waar men tekortschiet.
Volwassenheidsniveaus
1: Initieel; Beheersingsmaatregelen zijn niet of gedeeltelijk gedefinieerd en/of worden
op inconsistente wijze uitgevoerd. Grote afhankelijkheid van individuen.
2: Herhaalbaar; Beheersingsmaatregelen zijn aanwezig en worden op consistente en gestructureerde, maar op informele wijze uitgevoerd.
3: Gedefinieerd; Beheersingsmaatregelen zijn gedocumenteerd en worden op gestructureerde en geformaliseerde wijze uitgevoerd.
De uitvoering is aantoonbaar en wordt getoetst.
4: Beheerst en meetbaar; De effectiviteit van de beheersingsmaatregelen wordt periodiek geëvalueerd.
5: Continu verbeteren; De beheersingsmaatregelen zijn verankerd in het integrale risicomanagement raamwerk, waarbij continu gezocht wordt naar verbetering.
Voor een succesvolle ISO 27001 certificering zou je in ieder geval niveau 3 van de maatregelen moeten halen.
