In negen stappen naar effectieve informatiebeveiliging
22 juli 2010 -
Tripwire introduceert een negen-stappenprogramma voor een gestroomlijnde en effectieve beveiligingsstrategie om te voldoen aan regelgeving. Dit stappenprogramma is bestemd voor bedrijven en overheidsinstellingen en komt voort uit uitgebreid onderzoek en jarenlange ervaring met dit onderwerp door medewerkers van Tripwire.
"Een veelvoorkomende, maar helaas niet afdoende aanpak voor het realiseren van doelstellingen voor informatiebeveiliging is om je als bedrijf exclusief te richten op compliancy," zegt Rob Warmack, Senior Director International Marketing bij Tripwire. "Bedrijven die alleen daarop focussen, laten zich in crisissituaties leiden door de cyclus van voorbereiden op audits, de audits zelf, het analyseren van de bevindingen, het zoeken naar oplossingen en opnieuw testen. Dit wordt vaak gevolgd door een zoektocht naar de verantwoordelijken voor een niet succesvolle audit."
Negen stappen
Om organisaties te helpen informatiebeveiliging een integraal onderdeel van de dagelijkse bedrijfsvoering te laten uitmaken, raadt Tripwire de volgende negen stappen aan:
1. Leg verantwoordelijkheden hoog in de organisatie vast
Zorg ervoor dat activiteiten omtrent het voldoen aan regelgeving duidelijk top-down worden beheerd.
2. Stel een reeks informatiebeveiligings- en compliancy-doelstellingen vast
Maak overzichten van IT-governance-doelstellingen en -risico’s die komen kijken bij het realiseren van die doelstellingen. En bevestig dat informatiebeveiliging en compliancy helpen bij het bereiken van de doelen.
3. Definieer de perfecte indicatoren van doelstellingen voor informatiebeveiliging
Ontwikkel theoretische, ideale indicatoren die laten zien dat de informatiebeveiligingsdoelstellingen zijn behaald.
4. Zorg voor volledig inzicht in informatiestromen
Loop de bedrijfsprocessen door om inzicht te krijgen in de volgende zaken en leg bevindingen vast.
- Waar komt gevoelige informatie een organisatie binnen, op welke afdelingen komt deze terecht, waar wordt de informatie opgeslagen en waar verlaat informatie de organisatie?
- Bepaal specifieke risico’s voor organisatiedoelstellingen en informatiestromen.
- Ga na waar technologie nodig is om controlefouten te detecteren en te voorkomen.
5. Bepaal probleemeigenaren, rollen en verantwoordelijkheden
Definieer heldere rollen en verantwoordelijkheden voor activiteiten omtrent compliancy op procesniveau.
6. Definieer controletests zodat proceseigenaren zich kunnen vinden in de resultaten
Zorg ervoor dat bewijzen dat compliancy-doelstellingen zijn gerealiseerd, op elk gewenst moment automatisch zijn te genereren.
7. Plan regelmatige controletests en voer deze uit
Test de controle-effectiviteit regelmatig, zodat zeker is t dat deze effectief worden uitgevoerd, ongeacht auditscope en -timing.
8. Stel herstelrapporten op
Bepaal de status van herstelactiviteiten, vooral die, welke voorafgaand aan de audit afgerond moeten zijn.
9. Detecteer significante veranderingen in de controleomgeving en reageer daarop Zorg ervoor dat bekend is wanneer veranderingen in informatiestromen of de controleomgeving plaatsvinden, zodat er inzicht is in opnieuw te nemen stappen. Bijvoorbeeld als er wijzigingen zijn aangebracht aan een applicatie.
