✔ Onderzoek en inventarisatie
✔ Opstellen en actualiseren beleid en procedures
✔ Implementatie
✔ Monitoren
✔ Continue verbeteren
.
Kwetsbaarheden in kaart brengen
Om te bepalen waar een organisatie staat op het gebied van cybersecurity is het van belang om inzicht te krijgen in de huidige situatie. Om de huidige situatie vast te stellen richt ons onderzoek zich niet op één onderdeel maar juist de volle breedte van de bestaande middelen en maatregelen die zijn ingericht op strategisch, tactisch en operationeel niveau.
Op basis van deze informatie bepalen wij samen met de organisatie hoe het vervolgtraject eruit gaat zien. Wij kunnen met deze informatie een GAP analyse uitvoeren waarmee u in één oogopslag ziet welke ‘GAPS’ er mogelijk aanwezig zijn. Daarnaast kunnen wij u het huidige niveau van de organisatie kwantificeerbaar (meetbaar) maken. Dit doen wij bijvoorbeeld aan de hand van een assessment volgens het CMM Security Maturity Model.
Daarnaast is het van belang dat er wordt onderzocht wat de organisatie aan wettelijke verplichtingen heeft (Compliance). Maar ook hoe ziet het dreigingslandschap van de organisatie eruit. En welk security framework past het beste bij de organisatie voor het implementeren van passende maatregelen.
Risk appetite
Een belangrijk aspect van de strategie is dat er wordt vastgesteld welke informatie (data) moet worden beveiligd, dit kan data zijn die het bestaansrecht van een organisatie vertegenwoordigd. De strategie zal naar maatregelen, beleid en procedures vertaald worden en in het informatiebeveiligingsbeleid vastgelegd worden.
Vanuit de security strategie wordt verder nog gekeken naar welke risico’s acceptabel zijn voor de organisatie, de Risk Appetite. Dit draagt bij het efficiënt en effectief inrichten van de benodigde beveiliging.
Roadmap geeft richting en structuur
Niet alleen het nemen van de ‘juiste’ maatregelen is essentieel voor cybersecurity maar ook de volgorde waarin deze worden geïmplementeerd. Maar dan reist al snel de vraag waar beginnen?
Met onze Roadmap gebaseerde planning methodiek concretiseren wij de doelstellingen en volgorde (prioriteit) van de benodigde maatregelen.
Eventueel kunnen wij u ook met een projectmatige aanpak ondersteunen waardoor de Roadmap wordt verrijkt met een (afgestemde) planning. Hierdoor heeft u direct inzichtelijk wat de verwachte doorlooptijd van het project is waardoor u beter kunt sturen.
Eventueel kunnen wij u ook ondersteunen met een Agile gebaseerde aanpak dankzij onze jaren ervaring met KanBan, SCRUM en DevOPS.
Onze ervaring leert dat een goede Roadmap een belangrijke bijdrage levert bij het effectief communiceren op verschillende lagen in een organisatie. Daarnaast kan een Roadmap de security managers ontzorgen en helpt bij het sturen op concrete deliverables.
Beoordelen en bewaken
Om de effectiviteit van de geïmplementeerde maatregelen te kunnen beoordelen is het van belang om dit te monitoren. De intentie van het beoordelen van het informatiebeveiligingsbeleid is om zeker te stellen dat gemaakte afspraken over werkwijzen, verantwoordelijkheden/bevoegdheden, professioneel gedrag bekend zijn, worden nagekomen en actueel worden gehouden. Dit zorgt ervoor dat de kwaliteit van het informatiebeveiligingsbeleid gewaarborgd wordt.
Periodieke monitoring, tussentijdse evaluaties, elkaar kunnen en durven aanspreken op gedrag zorgen ervoor dat zichtbaar wordt wat werkt en niet werkt, zodat de verantwoordelijke eigenaar(s) effectief kan bijsturen en er wat aan kan doen.
Plan - do - check -act
Continu verbeteren is noodzakelijk om ervoor te zorgen dat de beveiliging up-to-date blijft maar ook dat de medewerkers zich continu zich ervan bewust zijn dat er steeds andere dreigingen bij kunnen komen. Een jaarlijkse awareness training kan medewerkers weer alert maken. Lean, Agile, Six sigma bieden tools om kwaliteit te borgen en te verbeteren.