+32 479670903

Hoe meet je het CyberSecurity beleid?

doorPablo Brusseel|februari 21, 2019|0reacties
Hoe meet je het CyberSecurity beleid?

Om een zicht te krijgen hoe een bedrijf het informatiebeveiligingsbeleid nog kan verbeteren, tellen sommigen het aantal kwetsbaarheden die ontdekt zijn tijdens de laatste security audit. Andere meten de mate van naleving van gekend een cybersecurity framework.

Geen van deze twee methodes geeft een duidelijk beeld van hoe volwassen het beleid rond informatiebeveiliging van een bedrijf is en welke de specifieke verbeterpunten zijn. Om het huidige niveau van het beleid te meten en te kunnen verbeteren moet een volwassenheidsmodel gebruikt worden.

Volwassenheidsmodel

Het gebrek aan een goed informatiebeveiligingsbeleid kan leiden tot het nemen van slechte beslissingen omtrent beveiliging of een verkeerde reactie op wijzigingen in de algemene bedrijfsvoering. De bedrijfsvoering zal bijgevolg niet in lijn liggen met de beveiliging van de informatievoorziening. Het bedrijf voldoet hoogstwaarschijnlijk ook niet aan de geldende wettelijke regels.

Er zijn bestaande modellen om de volwassenheid van het informatiebeveiligingsbeleid te meten. In de meeste van deze modellen wordt het beleid onderverdeeld worden in vijf niveaus:

  1. Initieel beleid
  2. Herhaalbaar beleid
  3. Gedefinieerd beleid
  4. Beheerd en gecontroleerd beleid
  5. Permanent bijgestuurd beleid

Initieel beleid

Dit is het eerste en laagste niveau. Bedrijven op dit niveau zijn niet of heel weinig bezig met het informatiebeveiligingsbeleid.  Kenmerken van dit beleidsniveau zijn:

  • Acties omtrent cybersecurity zijn niet aanwezig of worden ad hoc uitgevoerd
  • Er is geen of een minimaal beleid uitgewerkt
  • Er is niets of slechts gedeeltelijk gedocumenteerd
  • De wijze van uitvoering van het beveiligingsbeleid hangt af van het individu

Herhaalbaar beleid

Het tweede niveau in het volwassenheidsmodel bevat meer structuur dan de eerste initiële niveau. Nadruk ligt op documentatie en herhaalbaarheid. Het beveiligingsbeleid van bedrijven op dit niveau wordt gekarakteriseerd aan de hand van:

  • Een geïmplementeerd beleid
  • De praktische uitvoering van het beleid is standaard en bijgevolg consistent
  • Het beleid is informeel en grotendeels gedocumenteerd

Gedefinieerd beleid

Het beleid van een bedrijf op het derde niveau is goed gedocumenteerd. Het wordt uitgevoerd op een gestructureerde en formele manier waarvan de goede werking reeds bewezen is. Er worden keuzes voor de informatiebeveiliging gemaakt die in lijn zijn met de algemene bedrijfsvoering. Kenmerken van het derde niveau zijn:

  • Het informatiebeveiligingsbeleid is opgesteld en goedgekeurd door het hoger management
  • Het beleid wordt actief en duidelijk gecommuniceerd naar de medewerkers en derden
  • Het beleid is beschikbaar voor alle belanghebbenden

Beheerd en gecontroleerd beleid

Het informatiebeveiligingsbeleid van bedrijven op het vierde niveau wordt regelmatig geaudit en gecontroleerd op kwaliteit en opvolging. De kenmerken van het vierde niveau zijn:

  • Periodieke evaluatie en opvolging van het beleid
  • Er is een algemeen geldende strategie en visie rond informatiebeveiliging
  • Het informatiebeveiligingsbeleid werd opgenomen door de organisatie en vertaald naar procedures en werkinstructies
  • De naleving van het beleid wordt ad hoc gecontroleerd

Permanent bijgestuurd beleid

Op het hoogste niveau ontstaat er een cultuur van permanente verbeteringen en effectieve controles van het informatiebeveiligingsbeleid. De correlatie met de algemene bedrijfsvoering wordt zo sterk dat de informatievoorziening zal helpen met het realiseren van bedrijfsdoelstellingen. Kenmerken van het vierde niveau zijn:

  • De uitvoerbaarheid van het beleid wordt periodiek geëvalueerd
  • Indien nodig, wordt het beleid aangepast om in lijn te blijven met de algemene bedrijfsdoelstellingen of met externe evoluties op het gebied van informatievoorziening en de beveiliging hiervan
  • Het informatiebeveiligingsbeleid wordt jaarlijks bijgewerkt en/of goedgekeurd door het hoger management.
  • Er is real time monitoring van de beveiliging van de systemen
  • Taken voor de beveiliging van de informatievoorziening zijn geautomatiseerd

Toepassing

Wij hebben vastgesteld dat de meeste KMO’s zich momenteel in de onderste twee niveaus bevinden. Uitzonderingen hebben een heel goed gedefinieerd beleid, zij zitten op het derde niveau.

Grote bedrijven zitten veelal in de drie middelste niveaus, afhankelijk van de sector: Financiële instellingen en bedrijven met een verhoogd risico zitten doorgaans hoger in het volwassenheidsmodel.

Aan de hand van het volwassenheidsmodel kunnen bedrijven die hun informatiebeveiliging sterker willen maken meten wat het huidige niveau is en doelgericht actie ondernemen om het gewenste niveau te halen. Contacteer ons om u te helpen deze doelstellingen te behalen.