Alle mogelijke verstoringen en hacks voorkomen is door de beperkte middelen, waarmee elke organisatie te maken krijgt, een utopie. Om de grootste risico’s zoveel mogelijk te beperken moet je deze beperkte middelen zo efficiënt mogelijk proberen in te zetten. Als organisatie is dit natuurlijk je doel. Maar hoe maak je inzichtelijk waar je exact jouw tijd en resources het beste op kan inzetten? En welke stappen zet je als eerste om je doelen te bereiken? In deze blog leggen we je uit hoe je door het doen van een information security risk assessment informatiebeveiliging risico’s kan minimaliseren.
Datalekken in het nieuws
IT Security is hot. Er verschijnen dagelijks berichten in de media over nieuwe hacks, grote IT verstoringen en datalekken. Privacy gevoelige informatie komt vaak in handen van cybercriminelen of data raakt in zijn geheel verloren. De afgelopen twee jaar is het aantal incidenten met bijna 300% toegenomen meldt VPNgids. Hackers richten zich allang niet meer op grote enterprise bedrijven en financiële instellingen. Juist ‘kleinere’ organisaties zoals hogescholen, zorginstellingen, retail bedrijven en gemeenten zijn regelmatig doelwit van cybercriminelen. Het volwassenheidsniveau van dit type organisatie soms nog niet van het juiste niveau of het ontbreekt hen aan de juiste financiële middelen, terwijl ze wel beschikken over belangrijke persoonsgegevens. Ook zijn vaak de belangrijkste bedrijfsprocessen volledig gedigitaliseerd. Hoe ga je hier als organisatie mee om?
Rol van de CISO
Volledige bescherming is een utopie. Het is niet de taak van de CISO om op basis van ongelimiteerde investeringen de organisatie te beschermen tegen alle risico’s en bedreigingen. De CISO moet juist kunnen aangeven wat de organisatie mag verwachten qua niveau van bescherming en tegen welke kosten. Hierin maakt hij afwegingen:
- Is het zinvol een kostbare security oplossing te implementeren binnen een organisatie waar het security bewustzijn nog laag is?
- Vermindert dit het risico voldoende ten opzichte van de benodigde investering?
- Of heeft het meer impact als het security bewustzijn van de medewerkers eerst wordt verhoogd?
De dagelijkse besluitvorming binnen organisaties is mede gebaseerd op de aanwezige risico’s. Het periodiek uitvoeren van een information security risk assessment is hiervoor essentieel. Het in kaart brengen en kwantificeren van deze risico’s zou onderdeel moeten zijn van een continue risk management lifecycle.
Information Security Risk Assessment: Wat is het?
Een information security risk assessment (ISRA), is essentieel ter ondersteuning van de besluitvormingsprocessen ten aanzien van risico’s. Het resultaat van een ISRA geeft de organisatie op een gestructureerde wijze inzicht in de status van haar belangrijkste informatiebeveiligingsrisico’s. De maatregelen dragen bij aan de mitigatie van deze risico’s.
Het gaat niet alleen om IT gerelateerde onderwerpen, maar ook om non-IT aspecten. Denk bijvoorbeeld aan security awareness en leveranciersmanagement. Het ISRA is geen audit met een ja of nee antwoord. Afhankelijk van de door de organisatie beschikbaar gestelde middelen kan er worden besloten om de diepgang van het assessment aan te passen. Hierbij moet goed worden afgewogen of een assessment met beperkte diepgang de risico’s met potentieel de grootste impact zichtbaar maakt. Een goed uitgevoerd assessment, met de juiste diepgang, zorgt ervoor dat:
- Er een diepgaand begrip ontstaat van de bestaande veiligheidsrisico’s binnen de organisatie;
- En geeft inzicht of er voldoende processen en procedures zijn om risico’s te voorkomen.
Helpende hand
In de huidige tijd moet iedere organisatie een bepaalde vorm van risk assessment uitvoeren. Organisaties met een enterprise achtige omvang zijn vaak zelf uitstekend in staat om hier invulling aan te geven. Kleinere organisaties of organisaties waar het bewustzijn omtrent informatiebeveiliging nog in de kinderschoenen staat hebben hier externe hulp bij nodig.
Wij helpen deze organisaties met een maatwerk dienstverlening. Met het Information Security Risk Assessment van Navaio, gebaseerd op de ISO 27001 en de NEN 7510, maken wij via concrete stappen organisaties bewust van de risico’s. Het resultaat hiervan zal de komende jaren een waardevolle bijdrage leveren aan het informatiebeveiligingsbeleid van de organisatie.
Wil je meer weten over het Information Security Risk Assessment? Ga dan vrijblijvend met onze expert over dit onderwerp in gesprek. Laat je gegevens achter en wij nemen zo snel mogelijk contact met je op.
Leave A Comment