Frank Loffeld
Ransomware en datalekken vormen een groot risico voor organisaties. Een goed niveau van informatiebeveiliging wordt daarom steeds belangrijker. Dat geldt ook voor de aantoonbaarheid daarvan vanuit wet- en regelgeving en/of vanuit de keten. Daarom is er een sterk groeiende vraag naar ISO 27001 of NEN 7510 certificering.
Hoe ga je om met cyberbeveiliging? Onze visie: overweeg om de norm ‘in stukjes te hakken’ en begin bij het meest essentiële zaken. Met onze programma’s “Starten met de basis van informatiebeveiliging (ISO 27001/NEN 7510)” en “Driepijlerbenadering tot Cyberveiligheid (ISO 27001/NEN 7510)” geven wij hier invulling aan.
Als organisatie wil en/of moet je er dus wel werk van maken, op korte of langere termijn. De ISO 27001 / NEN 7510 normen zijn behoorlijk uitgebreid en diepgaand en een volledig implementatie-/certificeringstraject is daarmee een forse investering in tijd en geld. Voor veel organisaties een reden om dit en daarmee belangrijke informatiebeveiligingsmaatregelen voor zich uit te schuiven. De vraag is echter of het altijd nodig is om in één keer de stap naar volledige implementatie van de norm te maken. De essentie is immers in de eerste plaats om de meest urgente/bedreigende risico’s af te dekken.
ISO 27001/NEN 7510
ISO staat voor International Standardization Organization. ISO 27001 is de internationale norm voor informatiebeveiliging. De norm biedt een structuur voor het beschermen van de beschikbaarheid, integriteit en vertrouwelijkheid van informatie in een organisatie. NEN staat voor Nederlands Normalisatie-instituut en is daarmee een norm die vooral gebruikt wordt in Nederland. Is er sprake van gezondheidsgegevens die beveiligd moeten worden, dan is NEN 7510 toepasbaar.
Perrit Cyberbeveiliging Basis
Starten met de basis van informatiebeveiliging (ISO 27001/NEN 7510)
Na afronding van dit ‘opstaptraject’ heb je als organisatie een belangrijk en stevig fundament gelegd voor een hoger niveau van informatiebeveiliging. Informatiebeveiliging staat na dit traject binnen de organisatie op de kaart. Op basis van de opgestelde documentatie, opgebouwde registraties en het eindrapport kan je op deze essentiële zaken de basis aan belanghebbenden aantonen dat je ‘in control bent’ op de meest kritieke informatiebeveiligingsrisico’s.
Perrit Driepijlerbenadering tot Cyberbeveiliging
Binnen dit programma hebben we de volgende drie pijlers gedefinieerd welke gezamenlijk tot een complete benadering van cyberveiligheid te komen:
Mens en Compliance
Hierbij staan we stil bij de menselijke factor in security. We gaan aan de slag met awareness: security awareness, training en het onderdeel compliance & privacy. Denk hierbij aan verwerkersovereenkomsten, autorisaties, vaardigheden en de meldplicht datalekken.
Proces en Governance
In deze fase kijken we samen naar de noodzakelijke processen voor een correcte securitystrategie. We kijken naar de processen rond de security officer & management, oftewel het informatiebeveiligingsbeleid (ISMS, incidentbeheer etc.) Ook is er aandacht voor de procedures zoals beschreven in bijvoorbeeld ISO27001 en NEN7510 en de totale governance.
Data en Informatie
Bij Data en Informatie gaan we aan de gang met het technische aspect van security. Nadat we een uitgebreide security scan hebben uitgevoerd onder andere op gebied van informatietechnologie (IT), operationele technologie (OT), persoonsgegevens en operationele gegevens zorgen ervoor dat naar wens de juiste tooling wordt geïmplementeerd en gerapporteerd.