Security awareness was heel hoog binnen de organisatie, maar er was behoefte aan meer structuur en wellicht een ISO27001 certificering. Dit waren enkele kenmerken waarmee het project begon eind 2017.

Inventarisatie en gap analyse

Vertrekpunt voor de klant was het verbeteren van de structuur op het gebied van informatiebeveiliging. De vraag naar aantoonbare security op de dienstverlening nam steeds verder toe. Om een indruk te krijgen van de aanwezige beveiligingsmaatregelen is een gap-analyse uitgevoerd met de annex A controls van ISO27001 als uitgangspunt. Voor ieder onderdeel van ISO27002 is de status vastgesteld middels interviews. Kennis van de organisatie en uit de interviews is meegenomen in een risicoanalyse. Het beeld van de huidige risico’s, de actuele weerbaarheid en de gewenste volwassenheid is gepresenteerd.

Certificering

Na de inventarisatie is samen met de klant het security beleid opgesteld. Een pragmatische aanpak kijkend naar de gehanteerde werkwijzen zijn het uitgangspunt geweest bij het opstellen van het beleid. Hierbij heb ik als CISO de vertaalslag van het beleid naar de huidige werkwijze kunnen maken. Aanpassingen aan de werkwijze waren minimaal.

Samen met de klant zijn de noodzakelijke audits doorlopen en is het ISO27001 behaald. Om de audits soepel te laten verlopen zijn medewerkers getraind in het audit proces. Hierdoor kon gevraagd bewijs snel worden overhandigd en processen getoond. Deze voorbereiding gaf de medewerkers het vertrouwen dat ze het audit proces konden ondersteunen.

CISO as a service

De klant is te klein voor een fulltime CISO, vandaar dat ik met 25 North rol van CISO vervul. Enkele dagen per maand ben ik aanwezig om het opgezette programma te onderhouden en verbeteren. Bij vragen of incidenten sta ik de klant terzijde met advies.