De valkuil van een Information Security Management System (ISMS) is dat ernaar gekeken wordt als een verzameling van procedures, controles en audits. Een soort van bibliotheek die maar blijft groeien en groeien. De vinkjes worden keurig gezet. Die interpretatie is een gemiste kans. Want door bijvoorbeeld het toevoegen van concrete doelstellingen ten aanzien van de informatiebeveiligingsdoelstellingen maak je het praktisch en tastbaar.
Juist voor security officers vormen doelstellingen het verschil tussen een ‘papieren’ werkelijkheid en de dagelijkse praktijk. Concrete doelstellingen zorgen ervoor dat een ISMS daadwerkelijke richting geeft aan informatiebeveiliging..
Van abstract naar praktijk
.Abstracte beveiligingsprincipes zijn algemene uitgangspunten die richting geven aan informatiebeveiliging maar die op zichzelf nog niet concreet meetbaar of uitvoerbaar zijn. Voorbeelden zijn:
- Data moet beschikbaar blijven wordt
- Toegang moet gecontroleerd worden.
- Kwetsbaarheden moeten snel worden opgelost.
- Security Awareness moet verbeteren.
Dit soort omschrijvingen geven richting maar zijn te abstract om op te sturen. Ze maken een ISMS daarmee minder effectief wanneer niet de volgende stap genomen wordt om deze te concretiseren. De rol van een security officer is onder andere om een dergelijke vertaling te maken.
Voor bovenstaande 4 voorbeelden kan een concretisering er als volgt uitzien:
- Data moet beschikbaar blijven wordt > Kritieke systemen hebben een maximale hersteltijd van 4 uur.
- Toegang moet gecontroleerd worden> 100 % van de priviliged accounts gebruikt MFA voor Q4 2026.
- Kwetsbaarheden moeten snel worden opgelost> Critical vulnerabilities worden binnen 72 uur gepatcht.
- Security Awareness moet verbeteren> 95 % van de medewerkers voltooit jaarlijks awareness training.
Die vertaling maakt een ISMS bestuurbaar en toetsbaar en onderdeel van de dagelijkse praktijk.
ProActive Compliance Tool
In de Proactive Compliance Tool kun je onder registraties op eenvoudige wijze ‘Doelstellingen en KPI’s’ opnemen. Aan een doelstelling of KPI worden verschillende zaken gekoppeld zoals:
- Verantwoordelijke
- Een opsplitsing in de taken die nodig zijn om de doelstelling te behalen
- Startdatum en geplande einddatum
- Status: Aankomend/Incompleet/Achterstallig/Afgerond
Zo zie je steeds wat de actuele status en voortgang is van doelstellingen. Verantwoordelijken kunnen op basis daarvan eenvoudig worden aangesproken.
De gekoppelde analyse tool binnen de ProActive Compliance Tool geeft de mogelijkheid om in één oogopslag te laten zien wat de status is van de doelstellingen. In bovenstaand voorbeeld zie je direct dat er van 27 gestelde doelen 11 zijn behaald. Door middel van het toevoegen van grafieken kun je naar eigen wens diverse relevante analyses maken.
Vraag een demo aan
Wie informatiebeveiliging serieus neemt, organiseert het ook serieus. De ProActive Compliance Tool helpt je daarbij. Het is een gebruiksvriendelijk en overzichtelijke digitale tool die ervoor zorgt dat jouw organisatie inzicht krijgt en behoudt op jullie managementinformatie en certificeringen. Heb je interesse in een vrijblijvende demo? Vraag die dan nu aan!
