Data Loss Prevention begint bij identificatie van medewerkers die vertrouwelijke informatie genereren en distribueren. Zij kennen als geen ander de kwetsbaarheden en zij zijn in staat om voor uw organisatie adequate policies en maatregelen te bepalen.

Sprint is een methode van het ISF, die gebruikt kan worden om op gestructureerde wijze vast te stellen of het uitvoeren van een volledige risicoanalyse noodzakelijk is.

ISO ISO 27001 is een normatieve norm (baseline) waarop u gecertificeerd kunt worden. ISO 27002 (voorheen 17799) bevat best practices op basis waarvan u een op de risicoanalyse afgestemd basisbeveiligingsniveau kunt bepalen. Vooral voor kleinere en middelgrote organisaties bevat ISO 27001 vaak te veel overbodige eisen. Maar oordeelt u zelf.

De match tussen de maatregelen die ISO 27002 (=17799) voorschrijft en de risico’s die een organiatie loopt, is een keuzeproces. In dit artikel is in de vorm van een voorbeeld een methodiek uitgewerkt, waarmee deze match gemaakt kan worden en waarmee tegelijkertijd overbodige maatregelen worden geëlimineerd.

In dit artikel een voorbeeld van een aanpak om het basisbeveiligingsniveau volgens de norm ISO 27002 (is 17799) vast te stellen en de weergave van een maatregelenset. De aanpak houdt rekening met beleidsuitgangspunten en het belang dat de betrokkenen hechten aan de verschillende maatregelen. Zo wordt de basis gelegd voor awareness en commitment.

Vaak wordt ISO 27002 (=17799) opgevat als een absolute norm met meer dan 100 verplichte maatregelen. De beschreven maatregelen zijn echter best practices op basis waarvan het management de eigen norm kan vaststellen. Geen verplichting dus, maar een keuze, waardoor awareness vaak geen issue meer is en er een werkbare implementatie mogelijk wordt. Niet de norm, de auditor of de informatiebeveiliger bepaalt, maar het management, zelfs al wordt de norm opgelegd.

Veel organisaties hebben ervaren dat zij, ondanks zeer uitvoerige trajecten, niet in staat zijn gebleken om het VIR werkend te krijgen. Dit wordt veroorzaakt doordat beveiliging en honderden maatregelen als uitgangspunt zijn genomen en niet de bedrijfsvoering. In dit artikel vindt u een pragmatische aanpak voor de implementatie van het VIR, die daadwerkelijk uw beveiliging verbetert, zonder afbreuk te doen aan uw bedrijfsvoering.

Het VIR is een methode om informatiebeveiliging in te voeren. De methode is echter zeker niet geschikt voor iedere organisatie en in de praktijk is gebleken dat implementatie van het VIR vaak niet heeft geleid tot een verbetering van de beveiliging. Dit artikel helpt u bepalen of de aanpak van het VIR bij uw organisatie past.

Informatiebeveiliging stelt eisen aan de ICT-leverancier, die vastgelegd dienen te worden in het SLA. Als beveiliging echter als apart proces geïmplementeerd wordt en niet wordt ingebed in ITIL, zal het niet gaan werken. In dit artikel een beschrijving van een manier om ITIL Security te implementeren.

Een beschrijving van SARA, de methode voor een business gerichte risico analyse van het ESF.