ID: S202602060904
Status: school
Tags: Cybersecurity, Avans 2-2 Keuzenmodule
avans 2-2 m1w3 governance van cybersecurity
Cybersecurity Governance gaat over het geheel aan beheersingsmaatregelen, regelgeving en sturing op menselijk gedrag waarmee we ervoor kunnen zorgen dat het veilig blijft.
uitvergroot en beter qualiteit plaatje
De cyclus van een ISMS is het zelfde als het opstellen van andere plannen, maar dan gericht op cybersecurity.
Uiteindelijk is het jouw verantwoordelijkheid dat alles goed zit, zelfs als je een stuk laat doen door een externe partij. Jij moet controleren dat de externe partij het goed genoeg doet voor jullie standaard.
In een ISMS staat ook iets over organisatie, zo moet je benoemen dat een specefiek persoon eindverantwoordelijk is.
Een goed bestuur
In een goed bestuur wil je het op de volgende manier geregeld hebben.
Een CISO (Chief Information Security Officer) is iemand die toezicht houdt zodat de plannen en taken goed uitgevoerdt worden:
| Functie | Verantwoordelijkheden |
|---|---|
| Directie | Eindverantwoordelijk |
| Beveiligingsfunctionaris | Houdt toezicht op de algehele werking van het beveiligingsbeleid en faciliteert de implementatie van dit beleid |
| Afdeling IT-audit | Toetst en rapporteert aan de directie |
| Lijnmanagers | Verantwoordelijk voor de implementatie en uitvoering van het beveiligingsbeleid binnen de desbetreffende organisatorische eenheid |
| Projectleiders | Verantwoordelijk voor het opstellen en implementeren van beveiligingseisen die specifiek zijn voor het desbetreffende project |
| Leidinggevenden | Verantwoordelijk voor een adequate beveiliging binnen de desbetreffende organisatorische eenheid |
| Medewerkers | Verantwoordelijk voor alle aspecten van beveiliging met betrekking tot de eigen functie |
Rollen, taken en verantwoordelijkheden geven structuur.
Cultuur
Structuur en cultuur zijn onlosmakelijk met elkaar verbonden. Het is zoals een ijsberg of een UI, er zitten veel lagen onder die je eerst niet ziet zoals waarden en normen. Overtuigingen zitten nog dieper. Zo zit het ook in bedrijfscultuur.
Het meekrijgen van mensen in een organisatie is heel erg afhankelijk van hun overtuiging, zo zit het ook als je iets wilt doen in cybersecurity. Het is belangrijk om te kijken wat voor cultuur er heerst en of dat bij jou past.
Je kan cultuur aanpassen, maar het zal lang duren.
hierboven zien we het Quinn model die uitlegt wat voor bedrijfsculturen er zijn.
Als je een ISMS wilt maken is het belangrijk om te weten welke cultuur er heerst zodat je weet welke controls je moet gebruiken.
Controls
Er zijn hard controls en soft controls. Je wilt het liefste soft controls toepassen want die werken het beste.
Voorbeeldgedrag is belangrijk, als jij zelf slordig bent gaat de rest het ook niet doen. Bespreekbaarheid is ook belangrijk, want zwaktes zullen er komen, maar je wilt dat het wel gemeld wordt en de mensen niet bang zijn voor hun baan. Je kan het beste een cultuur hebben waar je met elkaar er van leert.
Je kan bij de sollicitatie al kijken of iemand matcht met de cultuur die je wilt. Ook kan een klokkenluidersregeling helpen.
Dit zijn de 8 basis Soft Controls.
References
https://assets.kpmg.com/content/dam/kpmg/pdf/2016/04/20160218-acht-basis-soft-controls.pdf