Informatie
Beveiliging
Wat is informatiebeveiliging?
Informatiebeveiliging is het geheel van preventieve , detectieve, repressieve en correctieve maatregelen alsmede beleid, procedures en processen die de beschikbaarheid, exclusiviteit en integriteit van alle vormen van data en informatie binnen uw organisatie garanderen. Dit met als de doel om beveiligingsincidenten te voorkomen en, indien deze dan toch optreden, de impact hiervan voor uw organisatie zoveel mogelijk te beperken.
Welke maatregelen relevant zijn voor uw organisatie is afhankelijk van diverse factoren zoals het type organisatie, de markt waarin uw organisatie acteert, de contractuele verplichtingen die u bent aangegaan, geldende wet- en regelgeving en de risico’s die uw organisatie wenst te nemen en/of te vermijden.
Het doel van
Informatie beveiliging
- Borgen van informatie beveiligingseisen over de gehele leveringsketen.
- Voorkomen van incidenten
- Het snel detecteren van incidenten
- Effectief reageren op incidenten.
Uw data en die van uw klanten goed beveiligd conform ISO 27001 en GDPR!
-Verhoog uw weerbaarheid-
Waarom is informatiebeveiliging voor uw organisatie van belang?
Weet u welke data cruciaal is voor uw organisatie en uw dienstverlening? Weet u hoe de datastromen lopen binnen de processen van uw organisatie? Weet u welke partijen allemaal toegang hebben tot uw data en hoe deze omgaan met uw data? Bent u bekend met de risico’s die uw data loopt binnen de gehele leveringsketen?
Uw organisatie is in de huidige 24-uurs informatiemaatschappij niet (meer) effectief te besturen zonder adequate informatie die juist, volledig en tijdig beschikbaar is voor de gebruiker. Daarnaast stellen klanten en leveranciers steeds hogere eisen aan de beveiliging van bedrijfs- en klantinformatie. Wet- en regelgeving (bijv. de AVG ) zijn steeds strenger geworden. Als organisatie bent u eindverantwoordelijk voor de bescherming van de data die aan uw organisatie wordt toevertrouwd. Indien u niet de juiste maatregelen hebt genomen om data adequaat te beveiligen kan dit leiden tot imago schade, verlies van klanten en marktaandeel, eventuele boetes of zelfs rechtszaken.
Voordelen van een goed informatiebeveiligingsbeleid voor uw organisatie
Klantenbinding – Bestaande klanten zien dat u de juiste maatregelen neemt om uw en hun data te beschermen. U reageert snel en effectief op incidenten en neemt maatregelen om zulke incidenten in de toekomst te voorkomen. Hierdoor zien klanten uw organisatie als een betrouwbare partner waar ze graag zaken mee blijven doen.
Succesvol nieuwe opdrachten binnenhalen – Steeds meer partners, leveranciers en (potentiële) klanten eisen van de partijen waar zij zaken mee willen doen dat zij informatiebeveiliging serieus nemen. Voordat een derde partij een nieuwe samenwerking met uw organisatie zal aangaan wil deze partij vooraf weten hoe uw organisatie informatie beveiliging heeft ingeregeld. Indien dit niet voldoet aan de verwachtingen kan het zijn dat uw organisatie niet in aanmerking komt voor de nieuwe opdracht en u dus potentiële omzet gaat missen.
In geval van een calamiteit
Een beveiligingsincident, zoals een hack of data lek, kan verstrekkende gevolgen hebben voor uw organisatie en het management.
Effectief gebruik van uw bedrijfsmiddelen –
Een goed informatiebeveiligingsbeleid is gebaseerd op de risico’s die uw organisatie loopt en waarvan u de gevolgen wilt vermijden. Door te focussen op de risico’s die er voor uw organisatie echt toe doen kunt u uw bedrijfsmiddelen op de juiste prioritieten inzetten. Hierdoor voorkomt u onnodige kosten en verhoogt u de effectiviteit van uw eigen organisatie.
Voorkomen van onnodige schade –Door uw informatie beveiligingsmaatregelen af te stemmen op bestaande contractuele afspraken met partners, klanten en relevante wet- en regelgeving voldoet u aan al uw ketenverplichtingen. Hierdoor voorkomt u onnodige schade aan uw imago, uw merk en eventuele boetes of juridische geschillen.
Concurrentie voordeel – Alle bovengenoemde voordelen helpen mee bij aan het versterken van uw concurrentiepositie. Middels het behalen van het ISO 27001 certificaat of het laten uitvoeren van een onafhankelijke (technische) audit door een gecertificeerde partij toont u aan uw zaken op orde te hebben! Zie ook: Dit kunnen wij voor u betekenen
Informatie beveiliging is in eerste instantie een cultuur wijziging!
-Weet waar u staat-
Belangrijke aandachtspunten bij het implementeren van een informatiebeveiliging strategy
Bij het ontwikkelen en implementeren van uw informatiebeveiligings strategy dient u rekening te houden met de volgende aspecten:
Aan welke eisen moet u voldoen?
Weet welke eisen er allemaal aan uw organisatie gesteld worden met betrekking tot informatiebeveiliging! Welke eisen stellen uw klanten, business partners en overheid? Hoe vertalen al deze eisen zich naar maatregelen op het gebied van personeel, processen en technologie?
Welke risico’s doen er echt toe?
Inventariseer uw risico en bepaald welke maatregelen u kunt of MOET nemen om deze terug te brengen naar een acceptabel niveau. Zorg dat u regelmatig de risico’s voor uw organisaties in kaart brengt en evalueert.
Stel uw eigen beleid op en onderhoud deze
Wat zijn de interne regels met betrekking tot het veilig stellen en beschermen van bedrijfsmiddelen? Zijn deze regels ook van toepassing voor externe partijen die ook toegang tot uw data hebben of zelfs uw data verwerken op hun eigen systemen?
Training en Awareness van personeel
“De zwakste schakel in het bedrijf zit tussen het toetsenbord en de stoel”. 70% van de informatiebeveiligingsincidenten wordt veroorzaakt door menselijk handelen. Zorg dat de juiste mensen de juiste training krijgen en dat de rest van de organisatie bekend is met uw eigen beleid en dat uw mensen deze ook mee nemen in hun dagelijkse activiteiten. Training en awareness hebben alleen nut als deze bijdragen aan gedragsverandering bij de mensen die met uw data werken.
De keten is zo sterk als de zwakste schakel
Welke activiteiten heeft u uitbesteedt en welke informatiebeveiligingseisen heeft u gesteld in de contracten met de partij die deze activiteit uitvoert? Hoe belangrijker de activiteit is hoe concreter de afspraken zouden moeten zijn. Dit om toekomstige juridische issues te voorkomen. Maak daarom vooraf goede afspraken waaruit blijkt welke eisen u stelt aan de informatiebeveiliging van uw leveranciers
Evalueer, leer en verbeter
Zorg dat u regelmatig alle gemaakte afspraken en geïmplementeerde maatregelen toets op naleving en effectiviteit. Reeds geïmplementeerde maatregelen dienen regelmatig getoetst te worden op beschikbaarheid (bestaat de maatregel nog?), volledigheid (dekt de maatregel nog steeds de juiste lading?) en effectiviteit (draagt de maatregel bij aan het omlaag brengen van het geïdentificeerde risico?). De wereld staat niet stil, uw organisatie ook niet en kwaadwillende al helemaal niet. Neem dus ieder leermoment, ook een crisis, ter harte.
-De mogelijkheden-
Dit kunnen wij voor uw informatiebeveiliging strategie betekenen
Informatiebeveiliging is een breed vakgebied. Het is daarom onmogelijk om aan te geven of en wat wij voor uw uitdagingen binnen het vakgebied informatiebeveiliging kunnen betekenen. In onderstaande tabel geven wij enkele mogelijkheden die u hopelijk inspiratie geven en leiden tot een nadere kennismaking.
Uw wens
Onze toegevoegde waarde
U wilt uw informatiebeveiliging risico’s in kaart brengen?
Optie 1: Het geheel documenteren, implementeren en uitvoeren van het risico management proces.
Optie 2: Het faciliteren en begeleiden van de risico workshops
Optie 3: Het vertalen van de door u gedefinieerde risico’s naar concrete en effectieve maatregelen.
U wilt uw informatiebeveiligingsbeleid opstellen of updaten?
Optie 1: Wij schrijven het gehele informatie beveiliging beleid en stemmen dit af met en op uw organisatie.
Optie 2: Wij schrijven de beleidsstukken die specifiekere kennis vergen.
Optie 3: Wij kunnen uw bestaand beveiligingsbeleid reviewen en u voorzien van aanbevelingen ter verbetering van uw beleid.
U wenst duidelijke afspraken te maken met 1 of meerdere (belangrijke) partners of leveranciers met betrekking tot informatiebeveiliging?
Optie 1: Wij nemen deel aan de gesprekken met betrekking tot contractuele informatie beveiligingseisen.
Optie 2: Wij toetsen en reviewen de poteniele afspraken die u wenst te maken voordat u officieel het contract tekent.
Optie 3: Wij toetsen uw partner of leverancier op het naleven van de reeds gemaakte contractuele afspraken.
U wenst een gedragsverandering binnen uw organisatie te bewerkstelligen met betrekking tot informatiebeveiliging?
Optie 1: Wij faciliteren workshops waarin we specifieke thema’s bespreken die relevant zijn voor uw organisatie en afgestemd zijn op het doel dat u wenst te bereiken.
Optie 2: Wij stellen het awareness materiaal op welke uw eigen organisatie kan inzetten voor het ondersteunen van de eigen awareness campagne.
Optie 3: Wij kunnen specifieke training (in company) verzorgen die helpen bij het effectief uitrollen van uw informatiebeveiliging strategie. Zie ook onze pagina met trainingen.
U wenst (tijdelijk) kennis en ervaring in te huren voor het implementeren van maatregelen?
Optie 1: Wij kunnen tijdelijk of semi-permanent de rol van CISO / Privacy Officer / Security Officer invullen.
Optie 2: Wij kunnen als expert deelnemen aan uw projecten binnen het vakgebied informatiebeveiliging en uw projectteam ondersteunen bij de implementatie en borging van maatregelen.
Optie 3: Wij kunnen onderdeel worden van uw security afdeling en deze helpen met het realiseren van hun doelstellingen.
U wenst een verklaring van een onafhankelijke partij omtrent de juiste naleving en/of effectiviteit van uw beleid en /of een (deel) van uw informatiebeveiligingsmaatregelen?
Wij voeren een assessment of audit uit op de door u bepaalde scope met als referentie het door u gekozen beleid, norm, standard of wet- en regelgeving. Zie voor mogelijke standaarden en scope: Compliance en audits
U wenst een certificaat te behalen?
Wij kunnen uw organiseren begeleiden naar het behalen van een ISO 27001 certificaat of ander norm zoals NIST of CSA.
Relevante normen en wet- en regelgeving
In onderstaande tabel treft u enkele belangrijke normen, industry best practices en wet en regelgeving aan die mogelijk relevant voor uw organisatie kunnen zijn en waar Triple A Security kennis van en ervaring mee heeft. Wenst u begeleiding bij de implementatie van één van deze normen naam dan vrijblijvend contant met ons op.
ISO 27001
In de ISO 27001 norm staat beschreven hoe informatie procesmatig beveiligd kan worden. In het geval van deze norm heet dat systeem ISMS (Information Security Management System).
NIST (National Institute of Standards and Technology
NIST (National Institute of Standards and Technology) is een instelling die onder de Amerikaanse overheid valt en zich inzet voor standaardisatie. Ook voor cybersecurity heeft het NIST een reeks richtlijnen opgesteld die bedrijven kunnen volgen om beter voorbereid te zijn tegen cyberaanvallen.
AVG
Sinds 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van toepassing. Dat betekent dat in de hele Europese Unie (EU) dezelfde privacywetgeving geldt.
De NIB-richtlijn
De NIB-richtlijn (netwerk- en informatieveiligheid richtlijn) is een Europese richtlijn en heeft ten doel om eenheid en samenhang te brengen in Europees beleid voor netwerk- en informatiebeveiliging, ter ondersteuning van het functioneren van onze samenleving en economie, door de digitale paraatheid te vergroten en de gevolgen van cyberincidenten te verkleinen.
Aanbieders van essentiële diensten als digitale dienstverleners binnen een Europees Lidstaat dienen adequate maatregelen te nemen om beveiligingsrisico’s te beheersen en gevolgen van incidenten te voorkomen en te minimaliseren en ernstige incidenten te melden aan de nationale bevoegde autoriteit of het CSIRT (computer security incident response team).
De Directive on Security of Network and Information Systems (NIS Directive) is de Engelse vertaling van de Europese richtlijn.
PCI DSS
PCI DSS staat voor Payment Card Industry Data Security Standard. PCI DSS stelt eisen aan het verwerken, doorsturen en opslaan van credit en debet kaartgegevens. Boetes en schadeloosstelling kunnen worden geëist bij een eventueel datalek indien uw organisatie deze standard niet aantoonbaar is nagekomen.
IEC 62443
De IEC 62443 is het internationale cybersecurity normenkader voor de Operationele Technologie (OT) en het beveiligen van Industrial Automation and Control Systems (IACS).
OWASP
Websites en webapplicaties verwerken iedere dag een hoop belangrijke informatie.
De Open Web Application Security Project (OWASP) is een open-source project waar beveiligingsexperts continu aan werken, om de lijst actueel te houden met de meest voorkomende veiligheidslekken.
CSA
CSA staat voor Cloud Security Alliance. Dit is een Non profit organisatie welke de veiligheid en beveliging van de cloud en cloud diensten voorop heeft staan.