Cyber Security Beleid

Naarmate we meer thuis werken, de cloud aan populariteit wintiedereen portable smart devices gebruikt en Bring Your Own Device (BYOD) normaal wordt, zien we dat informatiebeveiliging steeds complexer wordt. Met nieuwe risico’s van dienEen goed Cyber Security Beleid, ookwel Information Security Policy, geeft de kaders aan voor de lange termijn en schept orde in wat anders chaos zou zijn. Hebt u wat hulp nodig bij het opstellen van uw beleid? Wij helpen u graag. 

Doel, beleid en waarden in lijn

Vanuit het centrale bedrijfsbeleid wordt een beveiligingsbeleid geformuleerd, waar het Cyber Security Beleid weer een onderdeel van is. Je zou kunnen beargumenteren dat alles draait om toegangscontrole, of dat nu fysiek is (in een gebouw) of virtueel (in een computersysteem). Belangrijk is in elk geval dat het Cyber Security Beleid is afgestemd op het doel, beleid en de waarden in de organisatie. Die bepalen voor een groot deel de Baseline, ofwel Risk Appetite, die een organisatie heeft. Dat wil zeggen: welke risico’s worden geaccepteerd, overgedragen of gemitigeerd? Als een organisatie uit zichzelf al risico-avers is, zal het uiteindelijke beleid er waarschijnlijk anders uitzien dan wanneer een organisatie uit zichzelf juist risicozoekend is. Daarbij kampen sommige organisaties met een impliciet verhoogd risicoprofiel; denk daarbij aan politieke, militaire, religieuze of financiële instellingen en de zorg.

Methodisch van Cyber Security Beleid naar maatregelen

Wat de keuzes van de organisatie ook zijn, we zorgen altijd dat de vertaling van beleid naar maatregelen methodisch wordt aangepakt.

We werken volgens onze Meridion Methode en maken daarbij gebruik van handige tools en apps. Een mooi voorbeeld hiervan is InfoCat. Dit is een Microsoft PowerApp waarmee alle soorten informatie worden geclassificeerd en gecategoriseerd. Per categorie wordt er een set aan minimale maatregelen gedefinieerd. Daarbij wordt hieraan een rechtenstructuur verleend. Zo is de informatie altijd eenduidig en consistent beschermd tegen oneigenlijk gebruik en misbruik. De app neemt u stap-voor-stap mee in het proces van structurering van informatie en stelt u in staat om, aan de hand van controls in de norm, een set beveiligingsmaatregelen te koppelen aan elk label (Publiek, Vertrouwelijk of zelfs Zeer Bedrijfskritisch). Deze PowerApp werkt naadloos samen met Teams / Sharepoint. Handig! We laten u graag zien hoe dit werkt.

Managementsysteem (ISMS)

Voor certificering is een managementsysteem (ISMS) verplicht om een norm inzichtelijk te maken, te laten leven en te borgen. In het managementsysteem brengt u uw processen in kaart en toetst u uw producten en diensten op o.a. kwaliteit en veiligheid. Hierbij staat het risicoprofiel centraal dat wordt opgesteld aan de hand van een context-, stakeholder- en risicoanalyse. Het managementsysteem wordt door diverse certificerende instellingen gezien als een goede manier om te zorgen dat een organisatie voldoet aan de norm, maar ook zeker als uitstekende manier om de norm te onderhouden en te laten leven. 

Compliance Center

Meridion biedt een door onszelf ontwikkeld managementsysteem, genaamd Compliance Center. Groot voordeel van Compliance Center is dat het de overeenkomsten toont tussen verschillende normen, die soms tot tachtig procent overlappen. Zo hoeft u niet voor elke certificering het proces opnieuw te doorlopen. Wij bieden u een managementsysteem waarmee u – dankzij inzicht in de overeenkomsten tussen normen – heel eenvoudig aan aanvullende normen of eventuele toekomstige aanpassingen kunt voldoen. Nieuwe elementen zijn dus snel geborgd in het bestaande managementsysteem, wat u veel tijd en moeite bespaart.  

Microsoft Teams ISMS

Daarnaast zijn wij al decennia Microsoft specialist en weten wij als geen ander hoe de gouden combinatie gemaakt kan worden tussen eigen apps én Microsoft. Implementeer uw complete cyber security rechtstreeks in uw eigen vertrouwde Microsoft Teams omgeving. Met Microsoft Teams als ISMS werkt iedereen in hetzelfde systeem en in dezelfde documenten. Geen duplicaten meer, maar professioneel document- en versiebeheer. U hoeft documenten en afspraken niet meer via Outlook door te sturen, maar alles is centraal geborgd. Onze technische specialisten zijn er bovendien in geslaagd om op unieke wijze apps te ontwikkelen die per organisatie specifiek te maken zijn. Deze kunnen vervolgens (bi-directioneel) worden gekoppeld met Microsoft Teams. 

Auditen van Cyber Security Beleid en maatregelen

Voor een certificering zijn audits verplicht, maar ook als u niet streeft naar een certificering, is het auditen en testen van uw informatiebeveiliging van het uiterste belang. Alleen door een onafhankelijke professionele partij objectief uw informatiebeveiliging te laten beoordelen en testen, weet u of u werkelijk in control bent. Onze specialisten kunnen bogen op jarenlange ervaring en moderne tools. Zo gebruiken wij TopAudit om pragmatisch uw IT Security te auditen en voeren we kwetsbaarhedenscans en penetratietesten uit om ook in de praktijk te toetsen of uw maatregelen voldoende weerstand bieden. 

Ervaren specialisten in Cyber Security Beleid

We haalden het al eerder aan: vaak is het verstandig om externe hulp in te schakelen bij het formuleren en definiëren van Cyber Security Beleid. Niet alleen kennen onze mensen het klappen van de zweep, maar ze hebben ook beschikking over handige tools. Niet zelden geeft de frisse blik van een Meridion consultant een heel ander perspectief op een risico of beleidsvraagstuk. 

Door het inschakelen van externe hulp borgt u onafhankelijkheid en objectiviteit in uw beleid. Onze specialisten zijn daarbij ervaren in het adviseren bij en auditen van normeringen (ISO 9001, ISO 27001, VIPP, AVG en meer). Neem gerust contact met ons op! 

Gerben den Dunnen

Gaat u liever direct in gesprek met een deskundige op het gebied van Cyber Security Beleid? Neem dan gerust contact op met Gerben den Dunnen, Commercieel directeur en Lead Consultant bij Meridion.