Informatiebeveiliging is bij veel organisaties niet iets wat met regelmaat terugkeert op de agenda. In veel situaties is een organisatie hier een bepaalde periode mee bezig en vervolgens raakt informatiebeveiliging weer op de achtergrond. Totdat er een incident plaatsvindt en de cyclus opnieuw begint. Hoe zorgt u ervoor dat alle onderdelen van informatiebeveiliging wél regelmatig op de agenda blijft staan?
Informatiebeveiliging is een proces waar met regelmaat tijd en aandacht aan besteed moet worden. Zijn er nieuwe ontwikkelingen of risico’s waar u rekening mee moet houden? Zijn de getroffen maatregelen nog afdoende? Werken de maatregelen effectief en bent u nog ‘in control’? Dergelijke vragen vereisen dat er gekeken wordt hoe de zaken verlopen en wat er eventueel aangepast moet worden.
Dit brengt allerlei activiteiten met zich mee die met regelmaat uitgevoerd moeten worden. Wanneer u voor uw organisatie een dergelijke jaarplanning rondom informatiebeveiliging wilt creëren, is het van belang om dit op de juiste manier te doen. Zo dient ieder onderdeel voldoende aan bod te komen zodat risico’s beheersbaar blijven en de kans op incidenten wordt verkleind.
In dit blogartikel ontdekt u welke onderdelen niet kunnen ontbreken op een goede jaarplanning rondom informatiebeveiliging, bestaande uit:
- Planning en voortgang
- Review beleid
- Risicoanalyse(s)
- Verbeterplan
- Bewustwording
- Monitoren en meten
- Interne audits
- Directiebeoordeling
- Externe audit
Als je jouw kennis én bewustwording rondom informatiebeveiliging wilt vergroten. Download dan het complete e-book. Meer dan 40 pagina's aan informatie voor jou gebundeld.
Informatiebeveiliging op de agenda
Zoals hierboven al aangegeven is informatiebeveiliging geen eenmalige taak en bestaat het uit meer dan een enkele keer bepaalde maatregelen implementeren zoals het installeren van een virusscanner of het instellen van een sterk wachtwoord.
Goede informatiebeveiliging is een continu proces dat gedurende het hele jaar door aandacht nodig heeft. Om hier invulling aan te geven is het goed om een zogeheten operationele planning te hanteren.
In zo’n planning worden de jaarlijkse/herhalende activiteiten opgenomen met betrekking tot informatiebeveiliging. Een dergelijke planning bestaat uit bijvoorbeeld de volgende onderwerpen:
- Planning en voortgang
- Verbeterplan
- Bewustwording
- Monitoren en meten
- Interne audits
- Review beleid
- Risicoanalyse(s)
- Directiebeoordeling
- Externe audit
Planning en voortgang
De eerste stap is het opstellen van een planning van alle activiteiten (zie ook hieronder) voor het lopende (of het nieuwe) jaar en wijs deze toe aan de verantwoordelijke personen.
Voer regelmatig overleg over de voortgang met de direct betrokken medewerkers. Dit overleg kan bijvoorbeeld maandelijks of zelfs wekelijks plaatsvinden afhankelijk van de behoefte en omvang van de organisatie.
Tijdens het overleg worden de lopende zaken besproken, de voortgang in de planning, uitkomsten en resultaten van monitoren en meten, interne audits en eventuele beveiligingsincidenten.
Verbeterplan
Beveiligingsmaatregelen - ten behoeve van van risico’s en/of incidenten, of als gevolg van bevindingen uit interne/externe audits - dienen gerealiseerd te worden op basis van prioriteit en capaciteit. Plan deze maatregelen gedurende het jaar, wijs ook hier verantwoordelijken toe en zorg voor een goede opvolging.
Bewustwording
Wellicht de belangrijkste maatregel voor een adequate informatiebeveiliging is het zorgen voor een goed risicobewustzijn van medewerkers. Plan daarom gedurende het jaar verschillende activiteiten in om het bewustzijn te vergroten en op peil te houden. Denk hierbij aan training, nieuwsbrieven, een mystery guest, simulatie van een phishing mail, hackdemo et cetera.
Voor direct verantwoordelijken kan ook een incident response oefening uitgevoerd worden. Hierbij wordt een major incident nagespeeld (gesimuleerd) en wordt ervaring opgedaan in bijvoorbeeld de communicatie, samenwerking en mitigatie. Zo bent u goed voorbereid mocht een incident zich daadwerkelijk voordoen.
Monitoren en meten
Om de effectiviteit van maatregelen te borgen dient de status van de informatiebeveiliging gemonitord te worden door continue bewaking van bijvoorbeeld logs, netwerkaanvallen en spam. Meet daarnaast ook relevante key performance indicatoren zoals beschikbaarheid en aantallen incidenten. Doe dit op regelmatige basis en bespreek de uitkomsten in het eerder genoemde overleg. Neem indien nodig extra maatregelen om de doelstellingen te realiseren.
Interne audits
Naleving van het informatiebeveiligingsbeleid en effectiviteit van de maatregelen moeten daarnaast gecontroleerd worden. Doe dit op verschillende onderdelen en verschillende tijdstippen gedurende het jaar. Bevindingen als gevolg van deze controles dienen uitgewerkt te worden en waar nodig dienen extra maatregelen te worden genomen om afwijkingen te corrigeren.
Review beleid
Loop eens per jaar de belangrijkste beleidsdocumenten na. Zijn deze nog up to date?
Als er (grote) wijzigingen zijn geweest binnen de organisatie of als gevolg van externe veranderingen kan het zijn dat het beleid aangepast/aangescherpt moet worden.
Risicoanalyse(s)
Loop ook eens per jaar de mogelijke risico’s na en voer in ieder geval risicoanalyses uit bij nieuwe projecten, systemen of andere significante veranderingen. Identificeer relevante risico’s en neem hiervoor passende maatregelen.
Directiebeoordeling
Stel eens per jaar een directierapportage op over de status van de informatiebeveiliging. Geef aan wat er in de afgelopen periode gebeurd is, welke wijzigingen er zijn, in hoeverre de doelstellingen gehaald zijn en welke veranderingen in de komende periode op stapel staan.
Laat de directie de rapportage goedkeuren en daarmee bevestiging geven aan het op peil houden en verbeteren van de informatiebeveiliging.
Externe audit
Laat een externe auditor beoordelen of de organisatie nog steeds ‘in control’ is en voldoet aan de eisen van de ISO 27001 norm (of soortgelijk).
Denk aan externe audits ook aan bijvoorbeeld een penetratietest van de eigen systemen.
Voorbeeld
Een operationele planning zou er als volgt uit kunnen zien:
Hulp nodig?
Heeft u nog vragen over het opzetten van een goede planning? Of wilt u een beleid voor uw organisatie vaststellen of de bewustwording over informatiebeveiliging onder werknemers vergroten? Neem vrijblijvend contact met ons op. Wij staan graag voor u klaar.
Vergroot direct uw kennis én bewustwording rondom informatiebeveiliging. Download gratis "De Complete Gids voor Basiskennis Informatiebeveiliging"