Informatiebeveiliging
Beveiliging van systemen en gegevens vereist continue aandacht. Een gebrekkige beveiliging kan leiden tot ongeautoriseerde raadpleging of publicatie van gegevens of ernstige verstoringen van de bedrijfsprocessen door criminelen. Daar komt nog eens bij dat toezichthouders en de maatschappij in toenemende mate vragen naar bewijs en verantwoording over informatiebeveiliging en privacybescherming. Onze specialisten van Baker Tilly IT Advisory kunnen je inzicht, grip en zekerheid over je informatiebeveiliging bieden. Wij helpen je verder met de impact van relevante, technologische vernieuwingen op de beveiligingsrisico’s en geven je het gewenste inzicht.
Beleid en risicoanalyse
Jouw organisatie wil de IT-risico’s in beeld en onder controle hebben en wil tevens voldoen aan de wettelijke eisen op het gebied van IT- en informatiebeveiliging. Wij kunnen je helpen bij het inzichtelijk krijgen van de IT-risico’s die je in jouw specifieke situatie loopt, het inventariseren van de reeds getroffen maatregelen en het vormen van een plan en beleid. Je hebt als resultaat een actuele inventarisatie van de risico’s en informatiebeveiligingsbeleid dat je voor strategische executie en externe verantwoording kunt gebruiken.
Nadat ons advies er ligt, kunnen wij uiteraard verder begeleiden bij de implementatie van het beleid door bijvoorbeeld plannen uit te werken, de vorderingen periodiek te bespreken, suggesties te doen en de kwaliteit van uitvoering te bewaken. Omdat wij een mix van audit-, advies- en HR-ervaring hebben, kunnen wij bij uitstek een goede begeleiding bieden bij de uitvoering van beleid.
Nulmeting en advies
Wil je exact weten aan welke (wettelijke) eisen op het gebied van informatiebeveiliging jouw organisatie momenteel dient te voldoen, zonder direct een uitgebreide audit te ondergaan? Wij kunnen aan de hand van een compacte en praktische nulmeting inzicht bieden in de kwaliteit van je informatiebeveiliging en het managementsysteem. Wij hebben een instrument ontwikkeld waarmee het meetproces gestructureerd en inzichtelijk voor je kan worden uitgewerkt. Wij maken daarbij gebruik van geldende beveiligingskaders die van toepassing zijn op jouw organisatie, zoals NEN-ISO 27001 en 27002, NEN 7510 voor de zorgsector en Baseline Informatiebeveiliging Overheid (BIO) voor de publieke sector. Dit biedt direct een duidelijke opzet voor een verbeterplan en een structuur voor een reguliere controle hierop.
Omdat wij niet als auditor maar als adviseur werken bij een nulmeting, kunnen wij heel inhoudelijk en praktisch adviseren over de manier waarop je aan de geldende kaders kunt gaan voldoen, bijvoorbeeld in een informatiebeveiligingsplan. Wij werken altijd een proces en systeem uit waarmee je de geldende normenkaders en de relevante AVG-privacywetgeving op basis van risico kunt implementeren en via een managementsysteem kunt borgen. Bovendien voeren wij de werkzaamheden voor de nulmeting zoveel mogelijk samen met jou uit, zodat de gehele organisatie eigenaarschap voelt voor het resultaat.
Een nulmeting geeft je een helder inzicht in je actuele situatie met daarbij concreet advies over hoe je aan de nog niet gehaalde kaders kunt gaan voldoen. Nadat ons advies er ligt, kunnen wij je uiteraard verder begeleiden bij de implementatie, door bijvoorbeeld templates en praktijkvoorbeelden aan te reiken, de vorderingen periodiek te bespreken, suggesties te doen en de kwaliteit van uitvoering te bewaken.
Privacy-advisering
Door privacywetgeving en operationele- en reputatierisico’s is het belangrijk om je privacygevoelige gegevens veilig op te slaan. Een eerste stap hierbij is om inzichtelijk te krijgen hoe goed je organisatie aan de vereisten van privacywetgeving voldoet. Wij voeren voor je organisatie een nulmeting uit om vast te stellen of de maatregelen ten aanzien van privacybescherming adequaat zijn. Vervolgens kan bepaald worden in hoeverre de huidige maatregelen dienen te worden aangepast om te voldoen aan de wetgeving. Daarbij brengen wij kennis in van datastromen en systemen en van de AVG vereisten.
Wij gebruiken daarvoor actuele en praktische kaders zoals het Privacy Control Framework van onze beroepsorganisatie NOREA. Op basis van wetgeving en praktische kaders hebben wij een instrument ontwikkeld waarmee het meetproces gestructureerd en inzichtelijk voor je kan worden uitgewerkt. Dankzij de meting kunnen wij samen met jou een verbeterplan opstellen, inclusief een structuur voor de controle op je maatregelen. Ook in de uitvoering van het verbeterplan zijn wij je graag van dienst. Omdat onze experts over een mix van audit-, advies- en HR-ervaring beschikken, kunnen wij bij uitstek een goede aanpak uitwerken om interne reviews en audits uit te kunnen voeren.
Cybersecurity
Veel ondernemers zijn zich niet bewust van cyberrisico’s voor hun organisatie, omdat de inrichting en soms ook het onderhoud van de IT vaak zijn uitbesteed. Een kleine fout door jouw eigen mensen of de dienstverlener is snel gemaakt. Vaak is dit een gevolg van niet-doorgevoerde updates, onveilige systeeminstellingen of andere voorkombare problemen. Tegelijkertijd worden criminele netwerken en geopolitieke tegenstanders steeds bedrevener in het uitvoeren van cyberaanvallen.
Ook wanneer je denkt de beveiliging op orde te hebben en de nodige maatregelen te hebben genomen, is een kwetsbaarheidstest een goede manier om te testen of jouw netwerk en applicaties daadwerkelijk veilig zijn. De kwetsbaarheidsscan van Baker Tilly is een compacte scan waarmee je de kwetsbaarheden van je externe en interne IT-systemen in kaart kunt laten brengen. De aanpak is laagdrempeliger en betaalbaarder dan uitgebreide hack- en penetratietesten en kan eenmalig of in abonnementsvorm (als periodieke scan) worden afgenomen. In de scan zal geautomatiseerde, gespecialiseerde software een controle uitvoeren op kwetsbaarheden op je netwerk en systemen, uiteraard in goed overleg met je leveranciers en interne deskundigen.
Rapportages
Wij voorzien je van rapportages die je begrijpt en kunt uitleggen. Bovendien zorgen wij voor een technische rapportage, waarmee je jouw leveranciers de achterliggende handvatten kunt geven om de kwetsbaarheden te verhelpen. De resultaten van onze kwetsbaarheidsscan helpen je om tijdig bij te sturen op de risico’s. Zo helpen wij jouw omgeving veilig(er) te maken en heb je zekerheid dat de beveiliging goed geregeld is.
Begeleiding (ISO) certificering
Wil je de kwaliteit van je informatiebeveiliging aantonen aan je stakeholders middels een (ISO) certificering? Wij kunnen je begeleiden bij het inrichten en voorbereiden van deze certificering. Wij kennen de richtlijnen en kunnen deze zo passend mogelijk vertalen naar jouw situatie. Daarbij weten wij hoe certificerende instellingen werken en bereiden wij je zo goed mogelijk voor op de certificeringsaudit.
Het voordeel van een ISO-certificering is enerzijds dat je zo voldoet aan de eisen van eventuele klanten, opdrachtgevers of aanbestedingstrajecten. Certificering is namelijk steeds vaker vereist. Daarnaast levert de certificering ook jouw eigen organisatie voordeel op: jij en jouw medewerkers hebben immers laten zien dat zij processen, producten en diensten continu kunnen evalueren en verbeteren. Dat komt uiteraard jouw eigen activiteiten ten goede.
Klantverhaal
Benieuwd naar wat advies bij informatiebeveiliging in de praktijk inhoudt? Lees dan ons klantverhaal, waarin we meer vertellen over de kwetsbaarheidsscan die we bij SDW hebben uitgevoerd.
