logo ORSYS Le Mag

Het medium voor training en vaardigheden

Home > Digitale technologieën > Cyberbeveiliging > IS-governance: bedrijfsonderdelen betrekken bij bedrijfsbeveiliging

IS-governance: bedrijfsonderdelen betrekken bij bedrijfsbeveiliging

Gepubliceerd op 17 augustus 2023
Deel deze pagina :

Het beheer van cyberrisico's wordt nu op het hoogste niveau van het bedrijf gebracht, in de vorm van een Cyber Risk Management Committee. bestuur voor de beveiliging van informatiesystemen. Het is zijn rol om informatiebeveiliging te sturen en te organiseren en daarbij de bedrijfsonderdelen te betrekken. Stéphane Garreau, een expert op het gebied van cyberbeveiliging en het beheer van informatiesystemen, legt het concept van informatiebeveiligingsbeheer uit.

Illustratie artikel governance cybersecurity

Cyberrisico's worden momenteel beschouwd als een van de grootste risico's voor bedrijven, die daarom specifieke maatregelen nemen om hun informatiebeveiligingsbeleid effectiever te beheren. Deze maatregelen zijn geformaliseerd binnen een specifieke governancestructuur. Vanuit operationeel oogpunt wordt de governance geleid door de CISO, die verantwoordelijk is voor de informatiebeveiliging binnen het bedrijf, maar er moeten ook alle business lines van het bedrijf bij worden betrokken. Wat houdt governance eigenlijk in? Hoe kan governance van de beveiliging van informatiesystemen worden ingesteld? Wat zijn de verschillende verantwoordelijkheden van governance van informatiebeveiliging? Laten we dit eens nader bekijken.

Wat is "beveiligingsbeheer van informatiesystemen"?

Informatiebeveiligingsbeleid beheren

"Governance verwijst naar alle organisatorische oplossingen waarmee risico's voor informatiebeveiliging kunnen worden aangepakt en informatiebeveiliging kan worden beheerd", legt Stéphane Garreau uit, consultant op het gebied van cyberbeveiliging en het beheer van informatiesystemen en ORSYS-trainer. Het is over het algemeen een van de onderdelen van het beleid voor de beveiliging van informatiesystemen (PSSI).

Praktisch gezien houdt het implementeren van informatiebeveiligingsbeheer binnen een organisatie in:

  • De rol van elke persoon definiëren binnen de organisatie, in het bijzonder die van de CISO.
  • Instanties maken (bijvoorbeeld IT-beveiligingscommissies) of deel te nemen aan organen.
  • Een reeks beleidsregels en procedures implementeren die beschrijven hoe de organisatie reageert op cyberbeveiligingsrisico's.

Bestuur verbeteren om beveiligingsrisico's te verminderen

Het primaire doel van informatiebeveiligingsbeheer is om risico's te verminderen. "Dit omvat het beheren van technische projecten gericht op het verminderen van beveiligingsrisico's, het implementeren van acties om processen te verbeteren en het creëren van een cultuur van cyberbeveiliging door bewustwording en training van medewerkers", legt Stéphane Garreau uit.

Slechte governance zal waarschijnlijk leiden tot meer incidenten of cyberaanvallen, gegevensdiefstal, met financiële gevolgen, gevolgen voor het imago van het bedrijf en complianceproblemen. "Er zijn nauwe verbanden tussen informatiebeveiligingsgovernance en algemeen risicobeheer. Cyberrisico's zijn geleidelijk een zeer belangrijke rol gaan spelen in het risicomanagement. Risicomanagement heeft op zijn beurt een kader geboden voor cybersecuritymanagement", voegt de expert toe.

Problemen met naleving aanpakken

"De kwestie van informatiebeveiligingsbeheer aanpakken betekent ook compliance-kwesties aanpakken", legt Stéphane Garreau uit. "Verschillende regelgevingskaders bevatten verplichtingen op het gebied van cyberbeveiliging", met name de RGPD (die vereist dat er maatregelen worden genomen om de beveiliging van persoonsgegevens te waarborgen) en de norm PCI DSS (met betrekking tot de hosting van bankgegevens).

Hoe zet je informatiebeveiligingsbeheer op?

De bestuursvraag uitbreiden naar het drieluik "detectie/reactie/continuïteit

"Het definiëren en implementeren van informatiebeveiligingsbeheer omvat een aantal fasen: analyse van de bestaande situatie, risicobeoordeling en het formuleren van voorstellen om de bestaande normen te verbeteren", legt Stéphane Garreau uit. Governance wordt geformaliseerd en vastgelegd in de PSSI en gedetailleerde operationele procedures.

"Cyberbeveiliging is fundamenteel veranderd in de afgelopen 15 tot 20 jaar, toen het vooral ging om bescherming tegen cyberaanvallen", merkt de expert op. "Vandaag de dag heeft informatiebeveiligingsbeheer nog steeds een sterke beschermingsdimensie, maar het is uitgebreid met incidentdetectie, respons en bedrijfscontinuïteit. Processen, middelen, noodplannen sanering en communicatiesystemen worden daarom ontwikkeld en aangepast in lijn met dit nieuwe drieluik, als onderdeel van een continu verbeteringsproces. Om de kwaliteit van het bestuur te beoordelen, moet de risicovermindering worden gemeten (aantal incidenten, frequentie, impact, kwaliteit van de reactie van de organisatie, enz.)

Vertrouwen op standaarden en benchmarks

Vanuit methodologisch oogpunt zijn ISO-normen nuttige en wijdverspreide kaders voor het implementeren van informatiebeveiligingsbeheer: ISO 27001ISO 27014 (specifiek voor IS-governance) en ISO 27002 (algemeen bekend en gebruikt voor IT-veiligheidsrisicobeheer).

Naast de ISO-normen vertrouwen veel bedrijven op de tools van NIST (Nationaal Instituut voor Standaarden en Technologie) : daar Speciale publicatie 800-53 en het cyberbeveiligingskader.

Kader voor cyberbeveiliging

Training in bestuurlijke implementatie

Hoewel bedrijven de governance zelf kunnen verbeteren of implementeren, lopen ze het risico op een gebrek aan competente middelen op deze gebieden te stuiten. Hoe kan effectief informatiebeveiligingsbeheer worden ingevoerd in een context waarin middelen schaars zijn? "Er is veel vraag naar externe resources. Het opleiden van je teams in risicomanagement en compliance is een goed antwoord op het tekort aan talent", adviseert Stéphane Garreau. Eenmaal opgeleid, kunnen de teams hun bedrijf ondersteunen op weg naar certificering in de beveiliging van informatiesystemen.

IS-governance: een gedeelde verantwoordelijkheid van senior management, CISO's en gebruikers

Strategische verantwoordelijkheid, operationele verantwoordelijkheid: de juiste balans vinden

Het beheer van informatiebeveiliging vindt steeds meer plaats op het niveau van het algemeen management. Dit verantwoordelijkheidsniveau betekent dat er prioriteiten kunnen worden gesteld en de juiste middelen beschikbaar kunnen worden gesteld. "De beste manier om dit te bereiken is om het onderwerp cyberbeveiliging te benaderen via bedrijfsdoelstellingen en de impact van cyberrisico's op de bedrijfscontinuïteit. De operationele verantwoordelijkheid wordt altijd gedragen door de CISO, maar onder de uiteindelijke verantwoordelijkheid van het senior management," merkt Stéphane Garreau op. Hier is een speciale rol weggelegd voor de CISO. Als schakel tussen de operationele teams en de niet-technische teams neemt hij of zij de rol van communicator en opvoeder op zich en moet hij of zij een zeer technisch onderwerp zo transformeren dat het wordt begrepen en geassimileerd door de verschillende business lines.

En waar past de CIO in dit alles? "Hij blijft een hoofdrolspeler in het hele proces", antwoordt Stéphane Garreau, die uitlegt dat de uitdaging is om "de bedrijfsonderdelen te betrekken bij IT-beveiliging, zonder ze te veel te distantiëren van de technische staf".

Training en bewustmaking van gebruikers om een cultuur van cyberveiligheid te creëren

"Train gebruikers en maak ze bewust van cyberrisico's (e-learning, trainingscampagnes, etc.). phishingDit maakt ook deel uit van informatiebeveiligingsbeheer en is een voorwaarde voor gebruikers om meer verantwoordelijkheid op zich te nemen," voegt Stéphane Garreau toe. "Het implementeren van informatiebeveiligingsbeheer betekent ook dat er op alle niveaus en in alle bedrijfsprocessen rekening wordt gehouden met beveiliging, en wel zo vroeg mogelijk. Dit sluit aan bij het concept van veiligheid door ontwerpvoegt de expert toe.

Governance van de beveiliging van informatiesystemen maakt deel uit van een aanpak voor risicobeheer en -vermindering. Het is ontworpen om het beveiligingsbeleid effectief te beheren, maar richt zich ook op het vergroten van het bewustzijn onder werknemers en het betrekken van alle bedrijfsonderdelen bij het verminderen van cyberrisico's. Governance van de beveiliging van informatiesystemen is gebaseerd op normen en benchmarks, die moeten worden beheerst om ze goed te kunnen implementeren. Gezien het tekort aan gekwalificeerde cyberbeveiligingsprofessionals is training een van de beste opties.

Misschien ben je ook geïnteresseerd in deze artikelen

CISO Beveiligingsmanager informatiesystemen Information Systems Security Manager (CISO): meer dan een baan, een missie! Cyberbeveiliging en corporate governance ORSYS-training Hoe bestuur je een bedrijf in het licht van cyberdreigingen? Illustratie van artikel NIS 2NIS 2: hoe bereid je je voor op de toepassing van de nieuwe cyberbeveiligingsrichtlijn?

VORIG ARTIKEL

Web scraping: hoe je automatisch gegevens van het web haalt

VOLGENDE ARTIKEL

3 tips voor een succesvolle ISTQB certificering

Onze expert

Stéphane GARREAU

Cyberbeveiliging

Ingenieur van de École Centrale Paris en gecertificeerd in informatiesysteembeveiliging (CISSP en CCSK), […]

gebied van opleiding

Cyberbeveiliging

bijbehorende opleiding

Implementeren en beheren van een ISO 27001:2022-project

Beheerder informatiebeveiligingsbeheersysteem (ISO 27001-2013) (BV-RSMSI), Bureau Veritas-certificering

Beveiliging van informatiesystemen, samenvatting