Het cyberrisicobeheer wordt nu naar het hoogste niveau van het bedrijf gebracht, in de vorm van het beveiligingsbeheer van informatiesystemen. Zijn rol: het beheren en organiseren van informatiebeveiliging, waarbij de beroepsgroepen erbij betrokken worden. Stéphane Garreau, expert op het gebied van cyberbeveiliging en informatiesysteembeheer, legt dit concept van informatiebeveiligingsbeheer uit.
Cyberrisico wordt momenteel beschouwd als een van de belangrijkste risico’s voor bedrijven, die daarom specifieke maatregelen implementeren om hun informatiebeveiligingsbeleid effectiever te beheren. Deze maatregelen zijn geformaliseerd binnen specifieke governance. Vanuit operationeel oogpunt geleid door de CISO, verantwoordelijk voor de informatiebeveiliging binnen het bedrijf, moet governance niettemin alle beroepsgroepen van het bedrijf omvatten. Waar bestaat het eigenlijk uit? Hoe implementeer ik het beveiligingsbeheer van informatiesystemen? Wat zijn de verschillende verantwoordelijkheden op het gebied van informatiebeveiligingsbeheer? Laten we dit in detail bekijken.
Waaruit bestaat ‘informatiesysteembeveiligingsbeheer’?
Beheer het informatiebeveiligingsbeleid
“Governance verwijst naar alle organisatorische oplossingen die het mogelijk maken om informatiebeveiligingsrisico’s aan te pakken en informatiebeveiliging te beheren”, legt Stéphane Garreau uit, consultant in cybersecurity & informatiesysteembeheer en trainer ORSYS. Het vormt doorgaans een van de onderdelen van het informatiesysteembeveiligingsbeleid (PSSI).
Concreet bestaat de implementatie van informatiebeveiligingsgovernance binnen een organisatie uit:
- Definieer de rol die ieder speelt binnen de organisatie, in het bijzonder die van de CISO.
- Instanties maken (IT-beveiligingscommissies bijvoorbeeld) of participeren in organen.
- Stel een reeks beleidsmaatregelen en procedures vast die beschrijven hoe de organisatie reageert op cybersecurityrisico’s.
Verbeter het bestuur om beveiligingsrisico's te verminderen
Het primaire doel van governance op het gebied van informatiebeveiliging is het verminderen van risico's. “Dit omvat het beheren van technische projecten gericht op het verminderen van veiligheidsrisico’s, het implementeren van procesverbeteringsacties en het creëren van een cybersecuritycultuur door middel van bewustmaking van medewerkers en opleidingsacties”, legt Stéphane Garreau uit.
Slecht bestuur zal waarschijnlijk leiden tot meer incidenten of cyberaanvallen, gegevensdiefstal, met financiële gevolgen, gevolgen voor het imago van het bedrijf of zelfs complianceproblemen. “Er zijn sterke verbanden tussen het bestuur van informatiebeveiliging en het algehele risicobeheer. Cyberrisico’s hebben langzamerhand een zeer belangrijke plaats ingenomen in het risicobeheer. Op zijn beurt bood dit een raamwerk voor het beheer van cyberbeveiliging”, voegt de expert toe.
Beantwoord compliancevragen
“Door het probleem van informatiebeveiligingsbeheer aan te pakken, kunnen ook compliance-problemen worden aangepakt”, legt Stéphane Garreau uit. “Verschillende regelgevingskaders omvatten verplichtingen op het gebied van cyberbeveiliging”, waaronder GDPR (die vereist dat er maatregelen worden genomen om de veiligheid van persoonlijke gegevens te garanderen) en PCI DSS (met betrekking tot het hosten van bankgegevens).
Hoe implementeer je informatiebeveiligingsbeheer?
Verbreed de governancevraag naar het drieluik ‘detectie/respons/continuïteit’
“Het definiëren en implementeren van informatiebeveiligingsbeheer gebeurt in verschillende fasen: analyse van de bestaande situatie, risicobeoordeling en formulering van voorstellen die bedoeld zijn om de bestaande normen te verbeteren”, legt Stéphane Garreau uit. Het bestuur is geformaliseerd en komt tot uiting in de PSSI en gedetailleerde operationele procedures.
“Cyberbeveiliging is de afgelopen vijftien tot twintig jaar fundamenteel geëvolueerd, toen het vooral bestond uit bescherming tegen cyberaanvallen”, merkt de expert op. “Tegenwoordig heeft informatiebeveiligingsbeheer nog steeds een sterke beschermingsdimensie, maar deze is uitgebreid met incidentdetectie, respons en bedrijfscontinuïteit. Processen, middelen, sanerings- en communicatieplannen worden daarom met betrekking tot dit nieuwe drieluik ontwikkeld en aangepast, in een proces van continue verbetering. Het evalueren van de kwaliteit van het bestuur omvat het meten van de risicoreductie (aantal incidenten, frequentie, impact, kwaliteit van de reactie van de organisatie, etc.).
Vertrouw op standaarden en benchmarks
Vanuit methodologisch oogpunt vormen ISO-normen nuttige en veelgebruikte raamwerken voor de implementatie van informatiebeveiligingsbeheer: ISO 27001, ISO 27014 (specifiek voor IS-beheer) of zelfs ISO 27002 (bekend en gebruikt in de context van IT-beveiligingsrisico's). beheer).
Naast de ISO-normen vertrouwen veel bedrijven op NIST-tools (Nationaal Instituut voor Standaarden en Technologie) : daar Speciale publicatie 800-53 en het cyberbeveiligingskader.
Train jezelf in het implementeren van governance
Hoewel bedrijven het bestuur absoluut zelf kunnen verbeteren of implementeren, lopen ze het risico te maken te krijgen met een gebrek aan competente middelen op dit gebied. Hoe kan effectief informatiebeveiligingsbeheer worden geïmplementeerd in een context waar de middelen ontbreken? “Er is op zichzelf veel vraag naar externe hulpbronnen. Het trainen van uw teams op het gebied van risicobeheer en compliance is een goed antwoord op het tekort aan talent”, adviseert Stéphane Garreau. Eenmaal getraind, kunnen de teams hun bedrijf vervolgens ondersteunen op weg naar de beveiligingscertificering van informatiesystemen.
IS-governance: een gedeelde verantwoordelijkheid tussen het algemeen management, de CISO en gebruikers
Strategische verantwoordelijkheid, operationele verantwoordelijkheid: een balans om te vinden
Het bestuur van informatiebeveiliging wordt steeds meer naar het senior managementniveau gebracht. Deze overdracht maakt het mogelijk prioriteiten te stellen en adequate middelen te verkrijgen. “De beste manier om dit te bereiken is door de kwestie van cyberbeveiliging te benaderen via bedrijfsdoelstellingen en de impact van cyberrisico’s op de bedrijfscontinuïteit. De operationele verantwoordelijkheid wordt altijd gedragen door de CISO, maar onder de eindverantwoordelijkheid van zijn algemeen management”, merkt Stéphane Garreau op. De CISO speelt hierbij een bijzondere rol. Als schakel tussen operationele teams en niet-technische teams, neemt hij de rol van communicator en leraar op zich en moet hij een zeer technisch onderwerp transformeren zodat het door de verschillende beroepen wordt begrepen en geassimileerd.
Hoe zit het met de CIO in dit alles? “Hij blijft een fundamentele gesprekspartner in dit hele proces”, antwoordt Stéphane Garreau, die uitlegt dat de hele uitdaging erin bestaat “de beroepen te betrekken bij de IT-beveiliging, zonder deze te veel te distantiëren van de technici”.
Train en onderwijs gebruikers om een cultuur van cyberbeveiliging te creëren
“Het trainen van gebruikers, hen bewust maken van cyberrisico’s (bijvoorbeeld e-learning, phishing-trainingscampagnes) en hen herinneren aan goede praktijken maakt ook deel uit van het informatiebeveiligingsbeheer en bepaalt de toename van de verantwoordelijkheid van gebruikers”, voegt Stéphane Garreau toe. “Het opzetten van informatiebeveiligingsbeheer betekent ook dat we ervoor moeten zorgen dat er zo vroeg mogelijk op alle niveaus en in alle bedrijfsprocessen rekening wordt gehouden met veiligheid. Dit weerspiegelt het concept van beveiliging door ontwerp », vult de deskundige aan.
Het beheer van de beveiliging van informatiesystemen maakt deel uit van een benadering van risicobeheer en -reductie. Het is bedoeld om het beveiligingsbeleid effectief te beheren, maar richt zich ook op het vergroten van het bewustzijn van werknemers en het betrekken van alle beroepsgroepen om cyberrisico's te verminderen. Het opzetten van een governance voor de beveiliging van informatiesystemen is gebaseerd op standaarden en benchmarks, waarvan de beheersing noodzakelijk is om deze op de juiste manier te kunnen implementeren. Geconfronteerd met het tekort aan gekwalificeerde cyberbeveiligingsprofessionals is training een van de beste opties.
