Bedrijven die informatiebeveiliging serieus nemen en maatregelen afgestemd willen hebben op hun beleidsuitgangspunten en hun risicoprofiel, kunnen ISO 27002 gebruiken om te komen tot een passend security management systeem, inclusief een natuurlijke verbetercyclus.

Directies vinden informatiebeveiliging best wel belangrijk, mits ze maar begrijpelijk gerapporteerd worden over de risico’s, zodat ze een prioriteitsstelling kunnen maken tussen al die aandachtsvelden die om aandacht schreeuwen. In dit artikel een beschrijving hoe zo’n rapportage opgezet kan worden.

Auditing heeft zich in de afgelopen jaren ontwikkeld van een controlerende naar een adviserende discipline, waarbij normatief denken steeds meer ingeruild wordt voor klantgericht denken. Het gaat niet meer om de goedkeuring van de auditor, maar om zijn toegevoegde waarde.

Een recessie is onontkoombaar en ICT-investeringen zullen natuurlijk weer het kind van de rekening worden. En terecht! Slechts dienstverleners die SaaS, BPO, managed services en outsourcing kunnen leveren zonder dat de klant hoeft te investeren, zullen overleven.

Als risicoanalyses informatiebeveiliging van gerenommeerde accountantsbureaus geen beeld meer geven van de werkelijke bedrijfsrisico’s, dan raak je als directie van een organisatie wel in een lastig parket. In dit artikel een aantal voorbeelden en een korte analyse van dit ‘misverstand’.

Veel beveiligers en ICT’ers zien gebrek aan awareness als een belangrijk probleem bij security. Als je security isoleert en de focus legt op alleen dit probleem, dan is dat ook inderdaad het geval. Een beveiliger echter is geen wetgever, maar een dienstverlener die zorgt voor optimale informatiebeveiliging.

100 procent veiligheid bestaat niet. Beveiligers stellen vaak, dat management te veel waarde hecht aan compliance en dat dat juist niets zegt. Maar we leven toch niet in een bananenrepubliek, waar wet- en regelgeving niets voorstellen?