Van onbewust risico lopen naar bewust risico nemen
De afgelopen maanden zijn op het vlak van informatiebeveiliging de nodige incidenten voorgevallen, ook bij de Rijksoverheid. Steeds meer incidenten zorgen ervoor dat informatiebeveiliging op de agenda’s van CxO’s blijft staan. Gevolg van de incidenten was vooral reputatieschade, waarbij een aantal van de organisaties ook ISO 27001 gecertificeerd was.
Belangrijk om te weten is dat het ISO 27001 certificaat zelf geen garantie biedt over de mate van implementatie van bepaalde beveiligingsmaatregelen. Het zegt iets over het proces. Niet over de effectiviteit van de implementatie. Het proces moet continu getoetst en indien nodig verbeterd worden. In dit laatste aspect zit vaak het probleem. Men gaat er veelal vanuit dat een gegarandeerd beveiligingsniveau geboden wordt door een organisatie met een ISO 27001 certificaat, ondanks dat dit in vele gevallen geen onderdeel is van een contract of SLA.
Risicoanalyses en audits zijn over het algemeen een momentopname, gebaseerd op een op dat moment beeld van het ‘gebruikers – en technisch perspectief’. Zodra dit door een update verandert, kan er door deze verandering een nieuw risico ontstaan en kan een eerdere effectieve maatregel niet meer toereikend zijn of volledig afwezig zijn. Het is dus zaak deze risicobeoordelingen en afwegingen frequent uit te voeren en bij voorkeur onderdeel te laten zijn van het reguliere wijzigingenproces. Hierbij zijn goede wijzigingsprocedures met gedegen impactanalyses en triggers voor het uitvoeren van risicoanalyses, essentieel voor het risicomanagementproces en de selectie van beveiligingsmaatregelen.
Veel CxO’s maken zich op dit moment drukker om de eerstvolgende controle audit. Maar wanneer de organisatie zich bij het risicomanagementproces ook richt op de wijzigingen, is de kans zeer groot dat het wel goed komt met de controle audit en u uw certificaat behoudt en het beveiligingsniveau zelfs verhoogt.
Dit is echter nog geen garantie op het voorkomen van incidenten!
Lees het volledige artikel op http://www.complions.nl/uploadfiles/Nieuwsbrief%202012-3-V1.1.pdf
De afgelopen maanden zijn op het vlak van informatiebeveiliging de nodige incidenten voorgevallen, ook bij de Rijksoverheid. Steeds meer incidenten zorgen ervoor dat informatiebeveiliging op de agenda’s van CxO’s blijft staan. Gevolg van de incidenten was vooral reputatieschade, waarbij een aantal van de organisaties ook ISO 27001 gecertificeerd was.
Belangrijk om te weten is dat het ISO 27001 certificaat zelf geen garantie biedt over de mate van implementatie van bepaalde beveiligingsmaatregelen. Het zegt iets over het proces. Niet over de effectiviteit van de implementatie. Het proces moet continu getoetst en indien nodig verbeterd worden. In dit laatste aspect zit vaak het probleem. Men gaat er veelal vanuit dat een gegarandeerd beveiligingsniveau geboden wordt door een organisatie met een ISO 27001 certificaat, ondanks dat dit in vele gevallen geen onderdeel is van een contract of SLA.
Risicoanalyses en audits zijn over het algemeen een momentopname, gebaseerd op een op dat moment beeld van het ‘gebruikers – en technisch perspectief’. Zodra dit door een update verandert, kan er door deze verandering een nieuw risico ontstaan en kan een eerdere effectieve maatregel niet meer toereikend zijn of volledig afwezig zijn. Het is dus zaak deze risicobeoordelingen en afwegingen frequent uit te voeren en bij voorkeur onderdeel te laten zijn van het reguliere wijzigingenproces. Hierbij zijn goede wijzigingsprocedures met gedegen impactanalyses en triggers voor het uitvoeren van risicoanalyses, essentieel voor het risicomanagementproces en de selectie van beveiligingsmaatregelen.
Veel CxO’s maken zich op dit moment drukker om de eerstvolgende controle audit. Maar wanneer de organisatie zich bij het risicomanagementproces ook richt op de wijzigingen, is de kans zeer groot dat het wel goed komt met de controle audit en u uw certificaat behoudt en het beveiligingsniveau zelfs verhoogt.
Dit is echter nog geen garantie op het voorkomen van incidenten!
Lees het volledige artikel op http://www.complions.nl/uploadfiles/Nieuwsbrief%202012-3-V1.1.pdf