Verbeteren informatiebeveiligingsniveau Nederlands technologiebedrijf

“Dankzij de nieuwe norm zijn we in staat het informatiebeveiligingsniveau van alle locaties te verbeteren.”

Een Nederlands technologiebedrijf dat actief is in 34 landen wereldwijd had de wens om al haar fabrieken op een bepaald (minimaal) niveau van informatiebeveiliging te brengen. Deze fabrieken variëren sterk, in grootte en type, en bevinden zich in landen met grote verschillen in cultuur, geografie en klimaat. Het technologiebedrijf wilde een norm ontwikkelen. Met deze norm kunnen alle verschillende fabrieken vaststellen in hoeverre ze voldoen aan de informatiebeveiligingseisen en waar de “gaps” zitten.

Sincerus werd gevraagd om de ontwikkeling van de nieuwe norm vorm te geven. Doel hierbij was om te komen tot pragmatische maatstaven en criteria. Gerald Lijesen is vanuit Sincerus als consultant betrokken bij dit project. Lijesen: “We hebben de nieuwe norm ontwikkeld, op basis van onze uitgebreide ervaring op dit gebied en een stevige dosis gezond verstand. Verder zijn diverse normenkaders, waaronder ISO27002 als richtlijn gebruikt. Dergelijke normenkaders zijn uitstekende hulpmiddelen, maar sommige maatregelen zijn niet voor alle organisaties relevant.  Terwijl de implementatie ervan juist veel tijd en effort kan vergen. Een volledige implementatie van bijvoorbeeld ISO27002 binnen alle fabrieken zou voor het technologiebedrijf te ver voeren; een gecomprimeerd, meer toegespitst normenkader was gewenst. De organisatie wilde slechts zestig tot honderd controls invoeren! Aanvullende eis hierbij was, dat de verschillende fabrieken zichzelf zouden kunnen bevragen om het informatiebeveiligingsniveau te bepalen.”

Gap-analyse

Om fabrieken in staat te stellen snel en eenvoudig inzicht te krijgen in het verschil tussen de soll en de ist-situatie stelde Sincerus een questionnaire op. Lijesen: “Door gebruik te maken van de questionnaire kunnen de fabrieken snel een gap-analyse uitvoeren. Deze kan vervolgens worden omgezet in een informatiebeveiligingsplan, waarvoor we ook een template hebben aangeleverd.”

Om het basisniveau van informatiebeveiliging per locatie vast te kunnen stellen, te kunnen vergelijken en te kunnen verbeteren, stelde Sincerus beheersmaatregelen, doelstellingen en implementatierichtlijnen op. Lijesen: “Vóór de invoering van de nieuwe norm was de organisatie vooral reactief. Klanten stelden eisen en daaraan werd voldaan. De laatste jaren is echter het besef doorgedrongen dat informatiebeveiliging geen obstakel, maar juist een business enabler is. De combinatie van dit kwaliteitsbesef en de wens vanuit het management om compliance op het gebied van informatiebeveiliging aan te kunnen tonen richting accountants en auditors, heeft ervoor gezorgd dat dit hoge prioriteit heeft gekregen binnen de organisatie en inmiddels succesvol is geïmplementeerd op diverse locaties.”