Informatiebeveiliging - SafeHarbour
14.09.2016

Hoe versla je de papieren tijger van de informatiebeveiliging?

Door: Ronald Driehuis

Systemen en tools werken niet op zichzelf. Dat is een conclusie die ik wel kan trekken na jarenlange ervaring als IT-auditor in verschillende organisaties als banken, verzekeraars, zorginstellingen, waterschappen en gemeenten van groot tot klein. Implementeren van informatieveiligheid vanuit “techniek” duurt lang en wordt onvoldoende verankerd in de hele organisatie. Hoe maken we dit werkbaar?

GRC Tool

De oplossing zit hem in een GRC Tool en in een ISMS. Dit zijn beide werkzame oplossingen om de ingewikkelde processen van informatiebeveiliging te managen.

GRC staat voor Governance Risk management en Compliancy en laat zich het beste omschrijven als:

  • Governance: handeling of wijze van besturen, de gedragscode en toezicht op organisaties;
  • Risk management: risicobeheer; een continu proces dat ten aanzien van de gestelde doelen de risico’s identificeert en beoordeelt;
  • Compliance: wanneer je als organisatie werkt in overeenstemming met de geldende wet- en regelgeving en of je de vastgestelde normen nakomt.

De GRC Tool is programmatuur die je helpt om inzicht te geven in de mate waarin je je interne beheersing op orde hebt.

Information Security Management System

Een ISMS is een kwaliteitsysteem dat je helpt bij het uitvoeren van een PDCA-cylcus. Je geeft een scope aan. Van daaruit kijk je wat je kunt verbeteren. Je controleert door middel van audits/assessments waarna je weer je processen verbetert. Bij een ISMS hoort:

  • Techniek/software/tooling die je kan helpen met registeren van regeltjes en normen;
  • Awareness, training, kennisniveau van medewerkers;
  • Bepaalde processen als het melden van incidenten.

Een ISMS is de wijze waarop je organisatorische maatregelen hebt getroffen om de informatiebeveiliging op een acceptabel niveau te brengen en te houden.

Handboek om ‘in control’ te zijn

softwareDeze lijn hebben wij bij SafeHarbour doorgetrokken. Vanzelfsprekend kunnen GRC tools bijdragen aan het inzicht krijgen in de beheersing van risico’s. Echter, het gaat om de borging in de organisatie. Dat is de reden waarom wij ervoor hebben gekozen om vanuit de processen, formats, voorbeelden een “ISMS” op te bouwen. SafeHarbour levert een “handboek” op waarmee je als organisatie in control bent op gebied van informatieveiligheid. Hierbij maken we gebruik van slimme software.

Wat maakt onze software uniek?

  • Onze software stelt organisaties in staat om samen te werken aan stukken die vanuit de normenkaders op orde moeten zijn. Dit kan zowel intern als extern met adviseurs en andere gemeenten;
  • Onze software bevat ook voorbeelden die u helpen te voldoen aan de eisen van de BIG;
  • Het schrijven van al die formele stukken hebben we al voor u gedaan waardoor u de kans heeft om aandacht te besteden aan de borging van hetgeen moet gebeuren;
  • Onder borging valt niet alleen het op orde houden maar ook de toetsing in de praktijk en de bewustwording van alle mensen in de organisatie.

Ik ben ervan overtuigd dat deze wijze van implementeren en gebruik maken van jarenlange kennis en ervaring uit de praktijk uiteindelijk efficiënter is dan de tooling als uitgangspunt te nemen. Wij zorgen ervoor dat u de verplichte zaken snel op orde kunt hebben waardoor de mens voorop kan komen te staan. Alleen dan verslaan we de papieren tijger.

Meer weten?

Neem contact met ons op per e-mail of door te bellen naar 085 208 208 9.

Categorie: Kennis