Informatiebeveiliging

Informatiebeveiliging

Vandaag de dag en in de toekomst draait alles om informatie. Wet en regelgeving als de General Data Protection Regulation (GDPR) – in Nederland Algemene Verordening Gegevensbescherming (AVG) zijn volop in het nieuws. Bij sommige organisaties is er zelfs sprake van lichte paniek nu duidelijk wordt dat iedereen op 25 mei 2018 aan de AVG moet voldoen. Gevolg hiervan is dat beveiliging van informatie steeds belangrijker wordt. Beveiligingsincidenten kunnen leiden tot imagoschade, financiële schade en zelfs de bedrijfscontinuïteit serieus in gevaar brengen. Om informatiebeveiliging in te richten zijn er algemene (externe) standaarden dan wel normen ontwikkeld die organisaties kunnen of moeten toepassen, zoals de ISO27001, ISO27002, ISO28000, NEN7510 en de hiervan afgeleide branche specifieke normen BIR (Rijksoverheid), BIG & ENSIA (Gemeenten), IBI (Provincies) en BIWA (Waterschappen).

Vraag hier meer informatie aan over MexonInControl Inschrijven voor eerstvolgende informatiesessie

Wat is Informatiebeveiliging?

Informatiebeveiliging is het geheel van preventieve, detectieve, repressieve en correctieve maatregelen alsmede procedures en processen die de beschikbaarheid, exclusiviteit en integriteit van alle vormen van informatie binnen een organisatie of een maatschappij garanderen, met als doel de continuïteit van de informatie en de informatievoorziening te waarborgen en de eventuele gevolgen van beveiligingsincidenten tot een acceptabel, vooraf bepaald niveau te beperken. (bron: Wikipedia)

Steeds strenger wordende wet- en regelgeving zoals Meldplicht Datalekken, Wet Bescherming Persoonsgegevens (‘privacywet’), Telecommunicatiewet en Sarbanes-Oxley, vereisen dat organisaties steeds vaker moeten kunnen aantonen en uitleggen in welke mate ze voldoen aan een bepaalde externe informatiebeveiligingsnorm en of ze 'in control' zijn over hun informatiebeveiliging.

De auditlast waar organisaties mee te maken hebben of krijgen is groot en het juist interpreteren en toepassen van een externe norm op de interne organisatie in een bepaalde situatie (relevantie) stelt de security verantwoordelijken voor grote uitdagingen.




Information Security Management System

De complexiteit van het control- en maatregelenstelsel behorende bij een norm is groot en het ‘pas-toe-of-leg-uit'-regime is streng. Aanbevolen wordt dan ook om een zogenaamd Information Security Management System, ofwel ISMS, in te richten en te onderhouden. Een ISMS is de vastlegging en het onderhoud (verbetercyclus) van de complete set van maatregelen, processen en procedures in het kader van informatiebeveiliging. Deze complete set is de manier/methode hoe een organisatie met informatiebeveiliging omgaat.

De kern van het ISMS is de Plan-Do-Check-Act-cyclus (PDCA-cyclus). ‘Plan’ geeft invulling aan het beleid en de scope ten aanzien van het ISMS, ‘Do’ geeft invulling aan de uitvoering van het ISMS, ‘Check’ geeft invulling aan de monitoring van het ISMS en ‘Act’ geeft invulling aan het onderhouden en verbeteren van het ISMS.

Het ISMS op zich is overigens niet de garantie voor 100% veiligheid maar is een management systeem dat organisaties helpt om 'in control' te zijn of te geraken over hun informatiebeveiliging.

Uitdagingen

Veel organisaties en externe adviseurs zijn in het kader van informatiebeveiliging primair gericht op het inventariseren van risico’s, het uitvoeren van gap-analyses, het vastleggen en publiceren van processen, procedures, maatregelen, statusbepaling, rapportages, auditing, etcetera. Aanzienlijk minder aandacht is er voor de initiëring, toewijzing en besturing van acties, activiteiten en resources die benodigd zijn om een security incident op te lossen of een maatregel geïmplementeerd te krijgen en te onderhouden.

Doorgaans worden deze operationele processen gemanaged vanuit de aanwezige IT Service Management (ITSM) tooling. Echter, de samenhang met de informatie die in de GRC- en/of ISMS-tooling zit ontbreekt in de meeste gevallen. Bijkomend probleem is dat de ITSM-database over het algemeen alleen gegevens bevat over IT-assets, zoals applicaties en hardware en niet vanzelfsprekend ook gegevens bevat over de non IT-assets, die ook onderdeel zijn van de informatiebeveiligingsketen. Hierdoor zijn security verantwoordelijken vaak genoodzaakt om zelf nog een eigen informatiesysteem, veelal Excel-spreadsheets, in de lucht te houden om alsnog goed en snel inzicht te krijgen in bijvoorbeeld de actuele status van en de samenhang tussen relevante norm, controls, maatregelen, acties, activiteiten, assets en resources.

Een andere uitdaging is dat de van toepassing zijnde norm op zich ook kan veranderen, omdat de externe normen sterk aan elkaar gerelateerd/van elkaar afgeleid kunnen zijn. Een aanpassing van de ene norm kan leiden tot een aanpassing in de andere norm, waardoor een organisatie mogelijk te maken krijgt met andere maatregelen, acties en activiteiten. Deze zogenaamde kruislijsten vormen in de praktijk grote hoofdbrekens voor de security verantwoordelijken.



Onze oplossing: MexonInControl

Onze MexonInControl ISMS-software wordt ontwikkeld om verantwoordelijke medewerkers, veelal de Chief Information Security Officer (CISO), te ondersteunen bij het bewaken van en rapporteren over de status van de vastgelegde controls en maatregelen.

Via een cyclische proces (plan/do/check/act) worden een risicobeoordeling, de te treffen maatregelen, het bewaken van de voortgang en beoordelen van de status van de maatregelen aangestuurd. Dit leidt tot inzicht in de status van het traject om compliancy te bereiken en te handhaven, alsook tot inzicht in volwassenheid en/of werking van maatregelen (opzet, bestaan en werking).

MexonInControl biedt een organisatie een procesbenadering voor het beheersen van de informatiebeveiliging. Dit leidt tot betere controle en verminderde auditlast. Hiervoor is een krachtige workflow engine ingericht.

MexonInControl laat bestaande ICT-beheerprocessen intact en kan door slimme integratie met bestaande ITSM tools relevante data gebruiken voor analyse en rapportage. Dit betreft informatie over het applicatielandschap, de status van bijvoorbeeld antivirus maatregelen, de voortgang van een IT projecten of changes.

MexonInControl helpt bij het voldoen aan een informatiebeveiligingsnorm, het compliant blijven aan de norm en het volledig en aantoonbaar 'in control' zijn over de informatiebeveiliging. Bovendien maakt het het onderhoud van de norm zelf ook eenvoudig.

MexonInControl kan toegepast worden op alle algemene en branche specifieke normen op het gebied van informatiebeveiliging, waaronder: ISO27001, ISO27002, ISO28000, NEN7510, VIR, BIR, BIG, IBI, BIWA, etcetera.

Ondanks alle pogingen om privacygevoelige gegevens van personen en ketenpartners te beschermen zullen er zich incidenten voordoen. MexonInControl wordt ontwikkeld om incidenten van de categorie die gemeld moeten worden aan de CISO te registeren en af te wikkelen via vooraf bedachte reacties en eventuele escalatieprocedures. Deze incidenten zullen veelal ook gemeld moeten worden aan bijvoorbeeld Autoriteit Persoonsgegevens en IBD.



MexonInControlScreen3-1024x753-2.png

De voordelen voor u van MexonInControl op een rijtje:

  • Voorgedefinieerde en aanpasbare set van controls en maatregelen;
  • Eenvoudig inzicht in status en volwassenheid van de controls, inclusief het meten van de opzet, bestaan en werking van de maatregelen bij een control;
  • Voorgedefinieerde en aanpasbare workflows en activity planning voor ad hoc en repeterende acties en activiteiten; Eenduidig inzicht in de samenhang tussen risico's, maatregelen, acties, activiteiten, resources (waaronder capaciteit, ICT assets, etc.);
  • Flexibele dashboards en rapportering voor snel overzicht en minimale auditlast;
  • Eenvoudig uploaden van kruislijsten en updaten van de norm, controls en maatregelen [op termijn];
  • Separate database voor borging vertrouwelijke data;
  • Eén gebruikersvriendelijke geïntegreerde applicatie voor alle informatiebeveiligingsprocessen;
  • Geïntegreerde, voorgedefinieerde en aanpasbare control plans;
  • Slimme integratie met ITSM-tooling voor actuele informatie t.b.v. analyse en rapportage;
  • Faciliteren van interne en externe escalatie;
  • Een tool dat u voorbereidt op en assisteert bij audits en samenwerking met betrokkenen binnen de security keten optimaliseert;
  • En meer…

Wilt u weten wat MexonInControl voor u kan betekenen? Neem dan contact met ons op via email sales@mexontechnology.com of telefoon +31 33 432 17 00.