Zoals u wellicht weet, levert Hoffmann verschillende diensten met als centrale thema risicobeheersing. Zo screenen wij nieuw personeel, voeren we social engineeringtesten uit, doen we fraude- en integriteitsonderzoek en organiseren we crisismanagementtrainingen. Binnen het domein Cybersecurity ontvangen wij regelmatig van organisaties het verzoek om een nulmeting informatiebeveiliging uit te voeren. In dit artikel lichten wij toe wat een dergelijke nulmeting inhoudt en waarom dit waarde toevoegt.

Dit artikel is gepubliceerd in de Hoffmann Tips special - Cybersecurity & Risk management

Integrale benadering nulmeting informatiebeveiliging

De dienstverlening van Hoffmann heeft tot doel om incidenten binnen organisaties te voorkomen,  maar ook om de impact ervan te minimaliseren wanneer ze zich onverhoopt toch voordoen. Preventieve trajecten benaderen wij vanuit een perspectief waarbij het risico centraal staat. Een vraag vanuit een organisatie zou dus kunnen zijn wat haar grootste risico’s zijn op het gebied van informatiebeveiliging.

Om deze risico’s goed en volledig in kaart te kunnen brengen, is het van belang om zowel het informatiebeveiligingsniveau van de ‘mens’ (gedrag), als de ‘techniek’ (ICT) en de ‘organisatie’  (processen) te onderzoeken. Het gedrag van uw medewerkers (de ‘mens’) kunnen wij testen met diverse social engineeringstesten. Denk hierbij bijvoorbeeld aa ne-mailphishing, voicephising en fysieke inlooptesten (mystery guest visits). Het segment ‘techniek’ kunnen wij testen met  penetratietesten, waarbij wij testen of uw netwerk of applicaties kwetsbaar zijn voor gerichte aanvallen van hackers en andere kwaadwillenden. En hoewel over de segmenten ‘mens’ en ‘techniek’ genoeg te vertellen valt, leggen wij in het vervolg van dit artikel de nadruk op het segment ‘organisatie’. Wat houdt dit precies in en hoe pakt Hoffmann dit aan?

De organisatie

Binnen het segment ‘organisatie’ maken wij, op het vlak van informatiebeveiliging, een inschatting van het huidige volwassenheidsniveau van uw organisatie. Dit doen wij met behulp van het zogenoemde ‘volwassenheidsmodel informatiebeveiliging’ en de wereldwijd erkende norm voor  informatiebeveiliging, de ISO27001.

Maturity Model - Information Security

Volwassenheidsmodel informatiebeveiliging

Het volwassenheidsmodel informatiebeveiliging biedt handvatten om de informatiebeveiliging binnen de organisatie op orde te brengen. Zo geeft het inzicht in het volwassenheidsniveau van uw  organisatie en geeft het richting aan de stappen die u nog moet ondernemen om de informatiebeveiliging (verder) te optimaliseren. Het model bestaat uit verschillende  volwassenheidsniveaus. Wanneer organisaties zich op niveau 1 (initieel), 2 (herhaalbaar) of 3 (gedefinieerd) bevinden, richten zij hun aanpak vooral op de inrichting van informatiebeveiliging en het  beleggen van de verantwoordelijkheden. Wanneer zij zich op niveau 4 (beheersen) of 5 (optimaliseren) bevinden, richten zij zich met name op het realiseren van een continu verbeterproces en een informatieveilige cultuur, zie het Maturity Model hieronder.

Kort samengevat, houdt bovenstaande in dat organisaties op niveau 1 niet beschikken over een pro-actieve aanpak of informatiebeveiligingsbeleid. Terwijl bij organisaties op niveau 5 informatiebeveiliging volledig geïntegreerd is in de bedrijfsvoering en sprake is van continue  verbetering. Uit onze eigen onderzoeken blijkt dat de meeste organisaties niveau 2 of 3 behalen bij een nulmeting.

ISO27001

De ISO27001 is een wereldwijd erkende norm op het gebied van informatiebeveiliging. Voor de  nulmeting op het segment ‘organisatie’ maakt Hoffmann gebruik van ISO27002, die met beheersingsmaatregelen een verdieping geeft op ISO27001. Dit kader kan worden gezien als een ‘best practice’ en bevat een uitgebreide set van beveiligingsmaatregelen om risico’s met betrekking tot  beschikbaarheid, integriteit en vertrouwelijkheid van de informatievoorziening te identificeren en op een juiste wijze op te volgen.

Bij de uitvoering van een nulmeting beoordelen de professionals van Hoffmann de opzet en het bestaan van maatregelen binnen de organisatie. Onder ‘opzet’ wordt verstaan of het beleid, de processen en de procedures van informatiebeveiliging zijn beschreven. Onder ‘bestaan’ wordt verstaan of het beleid, de processen en de procedures ook in de praktijk worden toegepast. Bij deze nulmeting maken wij gebruik van diverse onderzoeksmethoden, zoals documentenanalyse, observatie en interviews met relevante functionarissen. Voorafgaand aan de uitvoering stemmen de consultants met de opdrachtgevers af welke medewerkers voor welke onderwerp worden bevraagd. Op basis van de verkregen inzichten worden vervolgens per thema de sterke punten en de verbeterpunten van uw organisatie op het gebied van informatiebeveiliging geformuleerd.

Tot slot vertalen wij de verkregen inzichten in een volwassenheidsscore per thema en een algemene volwassenheidsscore. Deze scores bieden aanknopingspunten om te bepalen welke thema’s aandacht behoeven om het niveau van informatiebeveiliging binnen de organisatie naar een volgend niveau te tillen. Zo heeft u niet alleen inzicht in het huidige niveau, maar weet u ook op welke wijze u verbeteringen kan doorvoeren.

En vanzelfsprekend adviseert en ondersteunt Hoffmann u daar graag bij.

Risk management

Anonieme bedreigingen, laster en smaad wat kunt u doen

Stel, u ontvangt een e-mail van een voor u onbekend Gmail-account. In die e-mail wordt een aantal leidinggevenden binnen uw organisatie beschuldigd van onfrisse praktijken. Beschuldigingen waarvan u weet dat ze niet waar (kunnen) zijn. Maar in de e-mail, en in de e-mails die volgen, staat ook een dreigement. Als u geen stappen onderneemt richting deze leidinggevenden zal de (anonieme) afzender de media opzoeken. En social media gaan inzetten om de beschuldiging(en) te verspreiden. Wat nu?

Risk management

Business not as usual

U zult het vast herkennen, de verplichte wekelijkse teamvergaderingen waarin doorgaans wordt gesproken over dagelijkse werkzaamheden en nieuwe ontwikkelingen. We noemen deze situatie ook wel ‘business as usual’. Maar wat doet u als de continuïteit van uw organisatie ernstig in gevaar komt? Over crisismanagement nadenken gebeurt vaak pas op het moment dat een crisis zich aandient. De vraag is of we ons dit reactief handelen eigenlijk wel kunnen veroorloven. In dit artikel vertellen we over ‘business not as usual’ en wat u kunt doen om uw organisatie voor te bereiden op een crisis. 

Risk management

Trends in cv-fraude: waar het opleuken stopt en fraude start

Stel, u ziet de vacature van uw dromen voorbijkomen. Het internationale bedrijf in uw woonplaats zoekt een sales director om een groot salesteam aan te sturen, leidinggevende ervaring is een pré. Nu heeft u tijdens een vakantieperiode wel eens uw huidige manager waargenomen, maar naar verwachting komt u daarmee niet door de eerste ronde. Komt u dan in de verleiding om uw ‘leidinggevende ervaring’ iets aan te dikken

Wilt u op de hoogte blijven van onze diensten en werkzaamheden? Meld u hier aan voor de periodieke toezending van onze Hoffmann Tips.