Het implementeren van een Information Security Management System (ISMS) is net als het leren fietsen
Metaforisch gezien is het implementeren van een Information Security Management System (ISMS) grotendeels gelijk aan het leren fietsen. Er is eerst een investering nodig maar daarna ga je een stuk sneller door het leven. Het proces zal gaan met vallen en opstaan, maar achteraf heeft niemand spijt dat hij of zij het ooit heeft geleerd. Als we deze metafoor nog een stukje doortrekken, dan kunnen we de ISMS software zien als de fiets. Ook hier gaat de vergelijking goed op, aangezien de kwaliteit van de fiets een positief effect heeft op het gemak en het plezier van het fietsen. Verder zou je de zijwieltjes kunnen zien als de ondersteuning van ervaren consultants tijdens de implementatie.
In de werkelijkheid is een ISMS natuurlijk iets complexer dan een fiets.Een ISMS is een systeem, samengesteld uit processen, documenten, mensen en technologie die organisaties in staat stelt om informatiebeveiliging te plannen, uit te voeren, te controleren en te verbeteren (Plan-Do-Check-Act).
Dit ISMS-ysteem wordt vaak geborgd in een applicatie, zogenoemde ISMS software, dit is geen vereiste! Maar een applicatie, mits juist geïmplementeerd, helpt u enorm om het ISMS als systeem efficiënter en effectiever te borgen. Het stelt de eindverantwoordelijke, vaak de CISO, in staat om daadwerkelijk proactief te kunnen sturen. Een gangbare aanname daarbij is dat met de aanschaf van een softwareoplossing direct bespaard wordt op tijd, energie en capaciteit. Op de langere termijn zal slim ingerichte software het leven inderdaad stukken makkelijker maken. Echter, tijdens de implementatie en de eerste fase van het gebruik zal er juist meer van de organisatie worden gevraagd.
Waarom er meer gevraagd wordt van de organisatie? Ten eerste omdat organisaties niet altijd een realistisch zelfbeeld hebben en van daaruit geneigd zijn om te ambitieuze doelstellingen te formuleren. Ten tweede omdat er eerst binnen de organisatie draagvlak gecreëerd zal moeten worden. Hetgeen te verwachten is voor een onderwerp als informatieveiligheid en/of risicomanagement. Ten derde vanwege de keuzes die gemaakt dienen te worden voor het wel of niet koppelingen van functionaliteiten en informatie.
Realistisch zelfbeeld
Een waarheidsgetrouw zelfbeeld in de mate waarin de organisatie informatiebeveiliging beheerst, is essentieel om realistische doelen te stellen. Deze doelen worden bij voorkeur opgeknipt in hapklare brokken. Bijvoorbeeld het uitwerken van het RACI model (een matrix die gehanteerd wordt om de rollen en verantwoordelijkheden te beschrijven) voor de normen van specifieke normenkaders.
Draagvlak
Deze “hapklare brokken” met een duidelijke scope helpen bij het creëren van draagvlak in de organisatie. Ook een trapsgewijze implementatiestrategie kan positief bijdragen aan het draagvlak in de organisatie. Door functionaliteit in korte sprints op te leveren kan doorontwikkeld worden op succes. Succes trekt aandacht, steekt andere aan en maakt het mogelijk om gecontroleerd stap voor stap de organisatie te betrekken bij de implementatie en het onderwerp van informatiebeveiliging. Voor iedere functie/rol in de organisatie moet de toegevoegde waarde van de ingeslagen weg duidelijk zijn, maar ook hoe de fiets, het ISMS hem of haar ondersteunt.
Koppelen van functionaliteit en informatie
Bij het implementeren van een ISMS ondersteunt door software moet er kritisch gekeken worden naar de integraliteit. De integrale koppeling van functionaliteiten en informatie kan zorgdragen voor verbeterde inzichten en analyses. Wanneer bijvoorbeeld risico’s gekoppeld zijn aan incidenten, dan kan de risicomanager nauwkeuriger scoren tijdens de analyses op de kans en de impact van een risico. Hij of zij kan namelijk direct zien hoe vaak en met welke schade er zich incidenten hebben voorgedaan. Deze nauwkeurigere voorspellingen helpen om proportioneel te controleren en beschikbare middelen efficiënter in te zetten.
7 stappenmodel
Elke organisatie is uniek en verschilt, bijvoorbeeld in cultuur, structuur, kennis, kunde of volwassenheid. Niet alleen tussen verschillende bedrijfssectoren maar ook zeker daarbinnen zijn er grote en kleine verschillen te benoemen. Rekening houdend met de diversiteit van organisaties gebruiken wij onderstaande 7 stappenplan om effectief en efficiënt het ISMS van onze klanten te borgen in onze GRC en ISMS softwareoplossing. In het volgende artikel zullen we deze stappen in meer detail toelichten.
1. Bepalen van ambitie(s);
2. Destilleren van doelstellingen;
3. Afstemmen van de scope;
4. Creëren van draagvlak;
5. Identificeren, analyseren en evalueren van risico’s;
6. Toewijzen, toetsen, monitoren en verbeteren van beheersmaatregelen;
7. Verbeteren en bijsturen middels proces evaluatie en actiemanagement.
Het Key Control Dashboard
Vanuit het Key Control Dashboard werken wij tijdens de implementaties intensief samen met onze klanten om gezamenlijk de beoogde ambities op informatieveiligheid zowel op korte als op de langere termijn te realiseren. Wij helpen bij het realiseren van een integraal ISMS-, PMS- en bredere GRC-doelstellingen met onze software. Het Key Control Dashboard is vanwege de flexibiliteit, integraliteit en sterke governance structuur in staat om decentraal eigenaarschap te beleggen. Daarmee is onze software uitermate geschikt voor elke organisatie die haar beheersing en sturing in relatie tot informatiebeveiliging wilt verbeteren. Een fijne fiets/softwareoplossing zal zich op langere afstanden/termijn zeker terugbetalen! Meer weten over wat het Key Control Dashboard voor uw organisatie kan betekenen? Neem dan gerust contact op.
Auteur: Stef de Graaf werkt als Managing Consultant bij het Key Control Dashboard. Als o.a. Project Manager is hij verantwoordelijk voor de implementatie van het ISMS, PMS, IRM en GRC software platform Key Control Dashboard bij diverse Ministeries, ZBO’s, financiële instellingen, zorgorganisaties en gemeenten.