Projecten

Een greep uit de uitgevoerde projecten.

ISO27001 Implementatie

Security awareness was heel hoog binnen de organisatie, maar er was behoefte aan meer structuur en wellicht een ISO27001 certificering. Dit waren enkele kenmerken waarmee het project begon eind 2017.

Inventarisatie en gap analyse

Vertrekpunt voor de klant was het verbeteren van de structuur op het gebied van informatiebeveiliging. De vraag naar aantoonbare security op de dienstverlening nam steeds verder toe. Om een indruk te krijgen van de aanwezige beveiligingsmaatregelen is een gap-analyse uitgevoerd met de annex A controls van ISO27001 als uitgangspunt. Voor ieder onderdeel van ISO27002 is de status vastgesteld middels interviews. Kennis van de organisatie en uit de interviews is meegenomen in een risicoanalyse. Het beeld van de huidige risico’s, de actuele weerbaarheid en de gewenste volwassenheid is gepresenteerd.

Certificering

Na de inventarisatie is samen met de klant het security beleid opgesteld. Een pragmatische aanpak kijkend naar de gehanteerde werkwijzen zijn het uitgangspunt geweest bij het opstellen van het beleid. Hierbij heb ik als CISO de vertaalslag van het beleid naar de huidige werkwijze kunnen maken. Aanpassingen aan de werkwijze waren minimaal.

Samen met de klant zijn de noodzakelijke audits doorlopen en is het ISO27001 behaald. Om de audits soepel te laten verlopen zijn medewerkers getraind in het audit proces. Hierdoor kon gevraagd bewijs snel worden overhandigd en processen getoond. Deze voorbereiding gaf de medewerkers het vertrouwen dat ze het audit proces konden ondersteunen.

CISO as a service

De klant is te klein voor een fulltime CISO, vandaar dat ik met 25 North rol van CISO vervul. Enkele dagen per maand ben ik aanwezig om het opgezette programma te onderhouden en verbeteren. Bij vragen of incidenten sta ik de klant terzijde met advies.

Security Operations Center development

Een Security operations center is de spin in het web bij de detectie en afhandeling van cyber security incidenten. Veel aspecten van ICT komen hier samen en medewerkers zijn het schaap met vijf poten.

Regelgeving

De klant is onderdeel van de financiƫle sector en wereldwijd actief. Hierdoor moest de Amerikaanse FFIEC regelgeving in acht worden genomen bij het verbetertraject.

Om te voorkomen dat een specifieke aanpak op een set regelgeving werd gemaakt, zijn de controls als leidraad genomen en aangevuld met best practices van ENISA en Mitre gecombineerd tot een aanpak

SCRUM-DEVSECOPS-AGILE approach

Voordat we met het team van SOC analisten aan de slag gingen hebben we een lange termijn visie geschreven voor het SOC. Welke diensten extern betrekken, hoe samenwerken met externen, welke services gaat het SOC aan de organisatie leveren, Welke applicaties en omgevingen worden aangesloten en welke personele cappaciteit is hiervoor nodig.

Vervolgens is op pragmatische wijze toegewerkt naar gedocumenteerde processen, verbeteringen in de technologie, standaardisatie in aanpak en rapportage. Op basis van deze aanpak zijn uiteindelijk de SOC analisten aangesteld op een formele functie binnen de organisatie.

Door kleine backlog items regelmatig te bespreken kon met een globaal team resultaat geboekt worden.