IT Governance
Efficiënte informatiebeveiliging is niet enkel een technische uitdaging, maar vereist een benadering waarin het volledige bedrijf wordt betrokken. De voornaamste redenen voor deze benadering zijn enerzijds dat het toepassingsgebied van informatiebeveiliging niet enkel tot electronische informatie mag beperkt blijven en anderzijds dat beveiliging gedreven moet worden door de zakelijke objectieven van het bedrijf. Een ander belangrijk punt is dat het beveiligingsbeleid sterk moet ondersteund worden door de top van het bedrijf.
Naast voorgaande bemerkingen vereisen regelgevende aspecten zoals "corporate governance" (bvb. Sarbanes-Oxley) en wetten die privacy beschermen (bvb. de directive van de EU met betrekking tot gegevensbescherming en de daaruit voortvloeiende nationale wetten), dat er een steeds sterkere behoefte is aan het voeren van een beveiligingbeleid op management-niveau.
Om u te helpen met deze onderwerpen, biedt Scanit u consultancy aan gerelateerd aan de ISO/IEC 27001 standaard en met betrekking tot uw beveiligingsbeleid.
ISO 27001 Consultancy
De groeiende behoefte aan een beveiligingsbeleid op management niveau waarover we hierboven gesproken hebben wordt samengebracht in onder andere de internationale ISO/IEC 27001:2005 norm.Deze norm definiëert een beheerssysteem voor informatiebeveiliging waarvan het doel is om in een proces te voorzien dat op continue basis de monitoring en de verbetering van de beveiliging van het bedrijf te bewerkstelligt. Dit doel is gelijkaardig aan het doel hetwelke de ISO/IEC 9000 voor kwaliteit tracht na te streven. Daarnaast kan een organisatie ook gecertificeerd worden op basis van deze norm. Dit kan gebruikt worden als bewijs ten aanzien van andere partijen dat de organisatie zich engageert ten aanzien van informatiebeveiliging.
Scanit kan u bijstaan in het ontwikkelen en onderhouden van een dergelijk beheerssysteem voor informatiebeveiliging.
In de ontwikkelingsfaze kan deze assistentie gaan van het opzetten van een aangepaste organisatorische infrastructuur tot het helpen bij het ontwikkelen van een kader voor risico-evaluatie. We kunnen u helpen met het maken van beleidsdocumenten en met het verzekeren dat de door de norm gevraagde documentatie aanwezig is.
Consultancy na de ontwikkelingsfaze heeft meestal betrekking op het audit-proces dat wordt opgelegd door de norm. Scanit kan de nodige kennis en begeleiding voorzien bij het opzetten en uitvoeren van de audits en het audit-plan.
Ontwikkeling van een beleid
Een goed beveiligingsbeheer start met een beveiligingsbeleid. Dit zorgt voor een zichtbaar bewijs van het engagement van het management van de organisatie. Daarnaast definieert het een basis voor aanvaardbaar gedrag en minimum beveiligingsniveaus die gerespecteerd dienen te worden.Het opstellen van een dergelijk beleid kan op het eerste zicht een lastige taak lijken. Scanit kan dit proces vergemakkelijken door onze kennis en onze ervaring met "best practices" gidsen zoals ISF's Standard for Good Practice in Information Security, ISO/IEC 17799 en ISO/IEC 27001.
Via een aantal workshops zullen wij u helpen met een beleid dat invoerbaar is en dat rekening houdt met de voor u specifieke bedreigingen, uw bedrijfscultuur en best practices. Daarnaast zal er rekening worden gehouden met specifieke regelgevende aspecten zoals opgelegd door de belgische CAO 81.
Policy Check-up
Een beveilgingsbeleid is een levend document. Het dient niet alleen up-to-date gehouden te worden, maar het dient ook ingevoerd en afgedwongen te worden binnen de organisatie.Voor bestaande policies kan Scanit een nazicht van de policy aanbieden. Een dergelijk project bestaat typisch uit drie fazen:
De eerste faze start met het opstellen van een inventaris van de bestaande policies. Daarna wordt er een analyse gemaakt van de samenhang tussen deze policies gerelateerd aan uw organisatie en verschillende beveiligingsdomeinen. Er wordt nagegaan of er tegenstrijdigheden zijn en of er domeinen zijn die niet voldoende worden gedekt.
In de tweede phase worden er beveiligingsrichtlijnen geïdentificeerd die de verschillende beveiligingspolicies afdwingen. Er wordt nagekeken of er beveiligingsgebieden zijn die niet gedekt worden door deze beveiligingsrichtlijnen en of er beveiligingsrichtlijnen zijn die niet gerelateerd zijn aan een policy.
Tenslotte worden de beveiligingsrichtlijnen nagekeken op basis van steekproeven (waarbij voorrang wordt gegeven aan domeinen met een hoog risico) om na te gaan of ze op een duidelijke en correcte manier werden ingevoerd.