Met dagelijks nieuws over ransomware en hackers en de telkens nieuwe dreigingen en kwetsbaarheden, is het essentieel om de informatiebeveiliging binnen de organisatie op orde te hebben. Veel organisaties hebben daarom een informatieveiligheidsbeleid opgesteld met duidelijke afspraken en richtlijnen voor de onderneming en de werknemers. Maar beleid alleen is niet voldoende: ook kennis moet op peil blijven.
Eenmalig een beleid schrijven is niet de grootste uitdaging voor een organisatie, het daadwerkelijk actueel houden van dit beleid is dat wel. De wereld van informatiebeveiliging kan er morgen namelijk anders uitzien dan vandaag. Een Information Security Management System (ISMS) biedt handvatten voor een organisatie. Een ISMS betreft alle zaken voor het beveiligen van alle (vertrouwelijke) informatie en bevat het beleid van de organisatie.
Gaat u met ISMS aan de slag, dan moet u diverse beheersmaatregelen treffen:
Door middel van een ISMS kan de organisatie meebewegen met de steeds veranderende bedreigingen op het gebied van cybersecurity. Daarnaast anticipeert dit systeem op wat nodig is binnen de organisatie. Want informatiebeveiliging is risicomanagement. Het draait om risico’s en de maatregelen die u kunt nemen om onacceptabele risico’s omtrent confidentialiteit, integriteit en beschikbaarheid te mitigeren. Afhankelijk van het risicoprofiel van uw onderneming en de aard van uw core-business zijn bepaalde risico’s hoger of lager dan die van andere ondernemingen.
Naast het opstellen van het ISMS is het ook belangrijk dat de kennis binnen de organisatie op peil blijft, juist vanwege de snelle veranderingen. Er zijn veel verschillende nieuwspagina’s die ingaan op de laatste ontwikkelingen van kwetsbaarheden en dreigingen die de cybersecurity (tools) in gevaar brengen. Denk aan tweakers.net, bleepingcomputer.com, thehackernews.com, portswigger.net/daily-swig en theregister.com. Houd daarnaast de autoriteiten en belangengroepen in de gaten: zij plaatsen actualiteiten, en doen en publiceren inhoudelijk onderzoek. In Nederland geeft het Nationaal Cyber Security Centrum adviezen (NCSC) en publiceert actualiteiten, expertblogs en ontwikkelingen op het gebied van cybersecurity. Een training of cursus biedt de mogelijkheid om te leren over de pragmatische opzet van de informatiebeveiliging van uw onderneming. U kunt trainingen volgen volgens een specifieke norm, zoals de Lead Implementer ISO 27001, of u kunt algemene trainingen volgen, zoals de Certified Information Systems Security Professional (CISSP) en CompTIA Security+. Ook zijn er trainingen op het gebied van governance en management van informatiebeveiliging, zoals de Certified Information Security Manager (CISM). CISM gaat in op onderwerpen als governance van informatiebeveiliging, ontwikkeling en beheer van programma’s, incidentmanagement en risicomanagement.