Vakantietijd even niet nadenken over risico’s of toch?
Lopen we risico’s door een gebrek aan structurele aandacht en onderschatting informatieveiligheid?
Het is vakantietijd! Waarschijnlijk niet het beste en leukste moment om na te denken over onderwerpen als effectief risicomanagement, informatieveiligheid, ISO 27001, SOC 2, COBIT of de Baseline Informatiebeveiliging Overheid (BIO). Helaas hoeft u maar even het nieuws erop na te slaan om te constateren dat hackers, data-lekken en cyber aanvallen in ieder geval niet op vakantie zijn. Dus pak het moment van welverdiende rust om ook even te reflecteren waar u als organisatie staat en, nog veel belangrijker, waar u naartoe wilt!
2020 is een belangrijk jaar. Het afgelopen halfjaar heeft de corona-crisis veel aandacht gevraagd van organisaties en de verwachting is dat dit na de zomer waarschijnlijk niet anders zal zijn. Tegelijkertijd is de afhankelijkheid van bedrijfsnetwerken en systemen met de corona-crisis alleen maar groter geworden. Veel bedrijven en (rijks)overheidsorganisaties hadden hun ambitie uitgesproken om in 2020 grote stappen te zetten waar het gaat om het aantoonbaar In Control zijn op informatieveiligheid risico’s en de beveiliging van informatiesystemen. Waarschijnlijk is hier gezien afgelopen periode nog niet voldoende van gekomen.
Haast lijkt dus geboden. Veel organisaties moeten nog dit jaar de stap zetten van een vooral incident gestuurde aanpak naar een aanpak waarbij ook wel de “comply of explain” methodiek wordt toegepast voor het gehanteerde informatiebeveiliging normenkader. Hierbij zijn de ISO 27001, ISO 27002, SOC 2, COBIT, of de Baseline Informatiebeveiliging Overheid (BIO) op dit moment de meest toegepaste normenkaders.
Af en toe horen wij dat de organisatie nog niet klaar is voor “comply of explain” of het aantoonbaar toetsen van beheersmaatregelen om de risico’s benoemd binnen informatiebeveiliging normenkaders te beheersen. Natuurlijk is het goed dat de organisatie acteert op incidenten. Maar in 2020 is alleen acteren echt niet meer voldoende. Er wordt zelfs van u verwacht dat u pro-actief aantoont dat u voldoet aan de gestelde normen. Dat geldt overigens niet alleen voor informatiebeveiliging gerelateerde normenkaders. Ook waar het gaat om Internal Control Frameworks en bedrijfsvoering georiënteerde onderwerpen is het inmiddels echt wel tijd om aantoonbaar te laten zien hoe de organisatie ervoor staat. Daarna kunt u als organisatie nog een stap verder gaan en zich richten op het ontwikkelen van een In Control Statement of Statement of Compliance.
Om bovenstaande ambitie waar te maken kunt u ook echt niet meer zonder een ISMS-systeem/software. Een ISMS-systeem dat effectief normenkaders borgt binnen de organisatie en de diverse organisatieonderdelen, het proces van toetsing (comply of explain) standaardiseert en borgt en real-time inzicht geeft in de In Control Status van de gehele organisatie waar zowel de CISO, Security Officer als bijvoorbeeld de Privacy Officer op kan steunen.
Dus zie het van de zonnige kant. Na de vakantie heeft u eindelijk de kans om alle “lessons learned” op te pakken en te werken aan uw ambitie om de basis op orde te krijgen. En misschien zelfs om van daaruit te werken aan het continue verbeteren van de organisatie. Namens het Key Control Dashboard een fijne vakantie gewenst en voor na de vakantie: succes!
Wilt u meer weten over wat onze GRC en ISMS software Key Control Dashboard uw organisatie kan bieden voor het aantoonbaar In Control zijn op Informatieveiligheid en andere normenkaders? Vraag dan onze vrijblijvende demo aan.