Zoals u wellicht weet, levert Hoffmann verschillende diensten met als centrale thema risicobeheersing. Zo screenen wij nieuw personeel, voeren we social engineeringtesten uit, doen we fraude- en integriteitsonderzoek en organiseren we crisismanagementtrainingen. Binnen het domein Cybersecurity ontvangen wij regelmatig van organisaties het verzoek om een nulmeting informatiebeveiliging uit te voeren. In dit artikel lichten wij toe wat een dergelijke nulmeting inhoudt en waarom dit waarde toevoegt.

Dit artikel is gepubliceerd in de Hoffmann Tips special - Cybersecurity & Risk management

Integrale benadering nulmeting informatiebeveiliging

De dienstverlening van Hoffmann heeft tot doel om incidenten binnen organisaties te voorkomen,  maar ook om de impact ervan te minimaliseren wanneer ze zich onverhoopt toch voordoen. Preventieve trajecten benaderen wij vanuit een perspectief waarbij het risico centraal staat. Een vraag vanuit een organisatie zou dus kunnen zijn wat haar grootste risico’s zijn op het gebied van informatiebeveiliging.

Om deze risico’s goed en volledig in kaart te kunnen brengen, is het van belang om zowel het informatiebeveiligingsniveau van de ‘mens’ (gedrag), als de ‘techniek’ (ICT) en de ‘organisatie’  (processen) te onderzoeken. Het gedrag van uw medewerkers (de ‘mens’) kunnen wij testen met diverse social engineeringstesten. Denk hierbij bijvoorbeeld aa ne-mailphishing, voicephising en fysieke inlooptesten (mystery guest visits). Het segment ‘techniek’ kunnen wij testen met  penetratietesten, waarbij wij testen of uw netwerk of applicaties kwetsbaar zijn voor gerichte aanvallen van hackers en andere kwaadwillenden. En hoewel over de segmenten ‘mens’ en ‘techniek’ genoeg te vertellen valt, leggen wij in het vervolg van dit artikel de nadruk op het segment ‘organisatie’. Wat houdt dit precies in en hoe pakt Hoffmann dit aan?

De organisatie

Binnen het segment ‘organisatie’ maken wij, op het vlak van informatiebeveiliging, een inschatting van het huidige volwassenheidsniveau van uw organisatie. Dit doen wij met behulp van het zogenoemde ‘volwassenheidsmodel informatiebeveiliging’ en de wereldwijd erkende norm voor  informatiebeveiliging, de ISO27001.

Volwassenheidsmodel informatiebeveiliging

Het volwassenheidsmodel informatiebeveiliging biedt handvatten om de informatiebeveiliging binnen de organisatie op orde te brengen. Zo geeft het inzicht in het volwassenheidsniveau van uw  organisatie en geeft het richting aan de stappen die u nog moet ondernemen om de informatiebeveiliging (verder) te optimaliseren. Het model bestaat uit verschillende  volwassenheidsniveaus. Wanneer organisaties zich op niveau 1 (initieel), 2 (herhaalbaar) of 3 (gedefinieerd) bevinden, richten zij hun aanpak vooral op de inrichting van informatiebeveiliging en het  beleggen van de verantwoordelijkheden. Wanneer zij zich op niveau 4 (beheersen) of 5 (optimaliseren) bevinden, richten zij zich met name op het realiseren van een continu verbeterproces en een informatieveilige cultuur, zie het Maturity Model hieronder.

Kort samengevat, houdt bovenstaande in dat organisaties op niveau 1 niet beschikken over een pro-actieve aanpak of informatiebeveiligingsbeleid. Terwijl bij organisaties op niveau 5 informatiebeveiliging volledig geïntegreerd is in de bedrijfsvoering en sprake is van continue  verbetering. Uit onze eigen onderzoeken blijkt dat de meeste organisaties niveau 2 of 3 behalen bij een nulmeting.

ISO27001

De ISO27001 is een wereldwijd erkende norm op het gebied van informatiebeveiliging. Voor de  nulmeting op het segment ‘organisatie’ maakt Hoffmann gebruik van ISO27002, die met beheersingsmaatregelen een verdieping geeft op ISO27001. Dit kader kan worden gezien als een ‘best practice’ en bevat een uitgebreide set van beveiligingsmaatregelen om risico’s met betrekking tot  beschikbaarheid, integriteit en vertrouwelijkheid van de informatievoorziening te identificeren en op een juiste wijze op te volgen.

Bij de uitvoering van een nulmeting beoordelen de professionals van Hoffmann de opzet en het bestaan van maatregelen binnen de organisatie. Onder ‘opzet’ wordt verstaan of het beleid, de processen en de procedures van informatiebeveiliging zijn beschreven. Onder ‘bestaan’ wordt verstaan of het beleid, de processen en de procedures ook in de praktijk worden toegepast. Bij deze nulmeting maken wij gebruik van diverse onderzoeksmethoden, zoals documentenanalyse, observatie en interviews met relevante functionarissen. Voorafgaand aan de uitvoering stemmen de consultants met de opdrachtgevers af welke medewerkers voor welke onderwerp worden bevraagd. Op basis van de verkregen inzichten worden vervolgens per thema de sterke punten en de verbeterpunten van uw organisatie op het gebied van informatiebeveiliging geformuleerd.

Tot slot vertalen wij de verkregen inzichten in een volwassenheidsscore per thema en een algemene volwassenheidsscore. Deze scores bieden aanknopingspunten om te bepalen welke thema’s aandacht behoeven om het niveau van informatiebeveiliging binnen de organisatie naar een volgend niveau te tillen. Zo heeft u niet alleen inzicht in het huidige niveau, maar weet u ook op welke wijze u verbeteringen kan doorvoeren.

En vanzelfsprekend adviseert en ondersteunt Hoffmann u daar graag bij.

Wilt u op de hoogte blijven van onze diensten en werkzaamheden? Meld u hier aan voor de periodieke toezending van onze Hoffmann Tips.