Het adviesbureau voor risicogestuurde informatiebeveiliging
Wij integreren informatiebeveiliging in jouw bedrijfsvoering en voegen zo waarde toe aan je dienstverlening. Hierdoor gebruik je informatie van jou en jouw klanten veilig.
We improve security to make people and organisations stronger.
De #1 adviseur voor jouw informatiebeveiliging
Weet je of de informatie van jouw organisatie voldoende beveiligd is? 25 North helpt organisaties met gewóón vorstelijke informatiebeveiliging. Wij zijn een beveiligingsadviseur die je helpt met inzicht in jouw risico’s, houden samen het beveiligingsbeleid bij en we bewijzen aan jouw klanten dat jullie goed beveiligd zijn.
Heeft informatiebeveiliging bij jouw organisatie voortdurende aandacht? Wij zien dat het risico van hacking of verlies van data in de praktijk onderschat wordt. Goede technische maatregelen zoals een firewall of anti-malware software helpen zeker te voorkomen dat hackers, cyber criminelen of script kiddies jouw gegevens stelen. Het is echter niet het enige wat er moet gebeuren.
Je kunt dit het beste vergelijken met brand. Je treft allerlei maatregelen om te voorkomen dat er brand ontstaat. Voorzichtig zijn met vuur, inrichten van vluchtroutes en een brandblusser. Het kan altijd mis gaan en daarom heb je een rookmelder geïnstalleerd. Deze zal je snel alarmeren wanneer er toch brand ontstaat. En als er dan brand is bel je de brandweer en helpt de verzekering je met het afhandelen van de schade. Waarom dit hele pakket? Je wilt niet dat er slachtoffers vallen door brand en de schade door brand kun je zelf niet dragen.
Met informatiebeveiliging is het niet anders. Andere belangrijke vragen zijn hoe wordt je gealarmeerd snel gealarmeerd als hackers je systeem binnen dringen en wat doe je dan. Hoe ziet jullie ontruimingsplan er uit?
Andere belangrijke vragen zijn wat is de schade wanneer jouw organisatie bijvoorbeeld weken niet bij informatie in je bedrijfssystemen kan of wanneer jouw bedrijfsinformatie openbaar wordt gemaakt. Hoe “bel” je de digitale brandweer en kun je deze schade van een cyberaanval dragen.
Deze voorbeelden laten zien hoe 25 North organisaties adviseert naar gewóón vorstelijke informatiebeveiliging. Met ons bewezen stappenplan bereiden we jouw organisatie voor op mogelijk cyber leed.
1 Bepaal je beveiligingsrisico’s
Het startpunt van onze aanpak is het inventariseren en beoordelen van jouw beveiligingsrisico’s. Ben je eigenaar van een online winkel of CIO bij een gemeente. Beide situaties kennen andere bedreigingen en risico’s.
We maken visueel waar jullie gegevens staan en wat er allemaal beveiligd zou moeten worden. Hierna bepalen wat voor ieder van de gebieden de risico’s zijn en stellen de kans en de impact voor ieder risico vast.
We helpen klanten met ons bewezen stappenplan.
2 Inventariseer je uitgangspunten
Welke verplichtingen zijn er opgenomen in je overeenkomsten en wat is er verplicht vanuit wet- en regelgeving. Ook zul je als organisatie eisen stellen aan de beveiliging van jouw gegevens.
Al deze eisen zijn een belangrijke aanvulling op de risico’s en krijgen invulling in beleidsstukken, technische maatregelen of op controlerend gebied.
ISO27001, NEN7510, ISO9001, SOC2 of bijvoorbeeld een Cloud Security Alliance STAR certificering zijn voorbeelden van eisen waarvoor een invulling moet komen.
Wel of geen management systeem? Wij zeggen JA, maar waarom? ISO27001 is een standaard voor informatiebeveiliging die door veel organisaties erkend wordt. Door jullie informatiebeveiliging af te stemmen op deze standaard ben je ervan verzekerd dat jouw security compleet is. Een bijkomend voordeel, wil je na verloop van tijd toch ISO2700 gecertificeerd worden, is een officiële audit een kleine stap.
3 Voer maatregelen in
Risico’s en eisen vormen het fundament waarop de maatregelen worden gebouwd. Een informatiebeveiligingsbeleid voor de organisatie opstellen en invoeren, training van medewerkers om het bewustzijn rondom informatiebeveiliging te vergroten, de firewall voor het netwerk en de backup van de gegevens. En natuurlijk voeren we alleen in wat ook echt nodig is.
Maatregelen invoeren gaat verder dan alleen het opzetten van het beleid of het aanzetten van een backup. De ingevoerde maatregelen moeten, net als een auto, periodiek onderhouden worden. Hiermee weet je zeker of alles nog werkt nadat je een backup hebt terug gezet en blijft het beleid actueel.
4 Meet en houdt inzicht
Binnen jouw organisatie zijn maatregelen ingevoerd om de beveiligingsrisico’s te behandelen. Nu is het zaak te meten of de doelstellingen van informatiebeveiliging zijn gehaald. Dit doen we door te kijken naar de kwaliteit waarmee de beveiligingsmaatregelen worden uitgevoerd.
Een interne audit helpt jouw organisatie een volledig overzicht te krijgen van de stand van informatiebeveiliging. Veelal is deze audit optioneel, behalve wanneer je een ISO27001 certificaat hebt of wilt behalen.
Wij zorgen dat de audit resultaten jouw informatiebeveiliging een boost geven, door op basis van de geest van de norm te bepalen waar verbeteringen mogelijk zijn.
Snel je risico’s onder controle en inzicht in jouw informatiebeveiliging realiseren we door gebruik te maken van ons bewezen stappenplan. Op basis van onze ervaring hebben we stappen en standaard documenten gemaakt waarmee we samen met jullie aan de slag gaan om beveiliging te integreren binnen jullie bedrijfsprocessen.
Wil je eerst weten wat de staat van jullie informatiebeveiliging is? Een state of security assessment geeft je duidelijk inzicht in verbeter potentieel.
Actueel inzicht in jouw informatiebeveiliging met Eramba
Wanneer je net de beveiliging van informatie goed hebt ingevoerd wil je ook inzicht in de stand van zaken. Worden de geïmplementeerde maatregelen en controles ook periodiek uitgevoerd. Als dit niet gebeurt worden niet als je risico’s of uitgangspunten ingevuld. Heb je jouw informatiebeveiliging ook nog laten certificeren volgens ISO27001, NEN7510, BIO of ISO9001 dan zijn deze controles nodig om te laten zien dat je managementsysteem continue verbeterd.
In de praktijk zien we dat organisaties in Excel en Word hun management systeem beheren. Dit werkt, maar welke risico’s zijn op dit moment niet goed beheerst en welke documentatie of maatregelen hebben onderhoud nodig?
Eramba GRC software
Wij adviseren om Eramba Enterprise GRC software te gebruiken bij het beheren van je beveiligingsrisico’s en maatregelen. Met Eramba heb je in één oogopslag zichtbaar welke risico’s er spelen, wat de status van je beveiligingsmaatregelen of beleid is en heb je alles bij de hand om aan je klant of auditor te bewijzen dat informatiebeveiliging bij jullie onder controle is.
Eramba enterprise GRC kan door de klant on-premise geïnstalleerd worden en bevat de gehele cyclus voor het beheer van informatiebeveiliging en ondersteunt compliance aan meerdere standaarden.
25 North levert jullie Eramba enterprise licentie en biedt ondersteuning bij de implementatie middels workshops.
Tarief
Een jaar licentie Eramba Enterprise kost € 2500 (exclusief BTW). De licentie biedt updates en software support door Eramba.
Implementatie workshops voor de software bieden we aan voor een vaste prijs per onderwerp.
Gehackt!! Wat als het mis gaat.
Datalek en ransomware-aanvallen bij bedrijven zijn bijna dagelijkse kost. Via een phishing email wordt toegang verkregen tot jouw IT omgeving om daarna bestanden te versleutelen. Om de sleutel te krijgen van de hackers krijg je weer toegang tot jouw bestanden en voorkom je dat jouw bedrijfsgeheimen te koop worden aangeboden. Het kan ook dat de hacker op zoek is naar een achterdeurtje in jouw software of andere plannen met je heeft.
Wij zijn ervan overtuigd dat het iedere organisatie een keer gaat gebeuren, een security incident. Plannen om te impact van een dergelijke aanval te voorkomen is dan ook van levensbelang voor de organisatie. Wat doe je als je gehackt wordt, wie bel je en hoe kun je jouw bedrijfsactiviteiten blijven uitvoeren. Ofwel, enkele scenario’s voor informatiebeveiligingsincidenten in je business continuity plan (BCP) uitwerken. Organisaties die dit doen zijn weerbaar wanneer er zich een daadwerkelijk incident plaatsvindt.
Oefenen en actualiseren
We zijn allemaal wel bekend met de jaarlijks ontruimingsoefening. Het brandalarm gaar en de BHV-organisatie komt in actie om iedereen het pand uit te sturen. Dit is nodig om de ontruimingsplannen te testen en er zeker van te zijn dat alles bij een echte calamiteit werkt. Met de business continuity plannen is dit niet anders. Je wilt weten of je plannen werken.
Na een oefening met het security incident response team actualiseer je jouw security incident response plannen. Je bent weer klaar voor de komende incidenten.
De aanpak van 25 North
Jouw risico’s bepalen de scenario’s waarop je jouw organisatie gaat voorbereiden. Daarom gebruiken we ook hier weer de resultaten van je risicoanalyse en bepalen zo welke maatregelen al aanwezig zijn. Wanneer risico’s een grote impact op de voortgang van de bedrijfsvoering hebben stellen we hiervoor een scenario op waarin we stap voor stap bepalen wat er gedaan moet worden als het scenario zich voordoet. Vragen als: wie moeten we bellen voor hulp, wat is er verzekerd, wanneer meldt je een datalek, en hoe communiceren we met klanten komen aan bod.
Tenslotte oefenen we een of meerdere scenario’s met het incident response team om er zeker van te zijn dat de plannen begrepen worden en ze voor jullie werken. Hiermee bereiden we jouw team voor op het ergste waardoor het in het echt alleen nog maar kan meevallen.
Weten hoe we jouw organisatie kunnen helpen de impact van incidenten te beperken, neem dan contact met ons op! Bel (+31357994929) of mail (info@25north.nl) ons. Je kunt ook het contactformulier hieronder invullen.
Advies nodig voor jouw security, privacy of compliance?
Lees ons privacy statement om te zien hoe we met privacy omgaan.
We komen graag met je in contact om te onderzoeken hoe we jouw organisatie verder kunnen helpen. Vul het formulier in, bel of mail en we nemen zo spoedig mogelijk contact met je op.
Wil je vertrouwelijke informatie delen, maak dan gebruik van onze Zivver intergratie. Je vraag en eventuele bijlagen zijn dan goed beveiligd tijdens de overdracht.