De security officer op de eerste lijn volgt een jaarprogramma met vaste onderdelen, die idealiter is uitgeschreven in een InformatieBeveiligingsBeleid (IBB) of in het risk en compliance beleid. Hierin staan onderwerpen als het periodieke onderhoud aan het security awareness programma, de periodieke security testen en het toetsen van IT controls in het IT control framework.
Naast al dit geplande werk is het belangrijk dat de security officer klaar staat voor raad en daad op de werkvloer, zoals tijdens de besprekingen van nieuwe projecten, beantwoorden van security vragen en klaar staan voor security incidenten.
Een Information Security Office, oftewel ISO, houdt grip op de risico’s, controls, het testen van de controls en de verbeterplannen. Maar dat is het niet het enige wat een Information Security Office bijhoudt. Daar horen ook de taken thuis als:
Het ISO jaarplan is het actuele plan, opgedeeld in tijd en periodieke activiteiten, zoals opgenomen in een InformatieBeveiligingsBeleid (IBB) of in het risk en compliance beleid. Hierin staan onderwerpen als het periodieke onderhoud aan het security awareness programma, de periodieke security testen en het toetsen van IT controls in het IT control framework.
Een (informatie)beveiligingsincident is een of meerdere (ongewenste of onverwachte) gebeurtenissen die een grote kans hebben op het bedreigen van de bedrijfsprocessen en / of een bedreiging vormen voor de Beschikbaarheid, Integriteit en/of Vertrouwelijkheid (BIV).
De reactie op een security incident kun je het beste vooraf in grove lijnen bedenken met bijvoorbeeld scenario’s waarin niet alleen de reactie op IT technisch gebied staat uitgeschreven (zoals wat gaat het infrastructuur team doen) maar ook hoe de communicatie gaat verlopen en hoe de bedrijfsprocessen worden aangepast. Lees ook het NIST rapport hoe je dit het beste aan kunt pakken.
Een penetratietester test of een of meerdere computersyst(e)em(en) kwetsbaar is/zijn voor security incidenten. Het doel van de penetratie tester is om systemen beter te beveiligen door kwetsbaarheden proactief te identificeren.
Een penetratietester is iemand die met toestemming en vrijwaring van de eigenaar van de systemen die getest worden, aan de slag gaat. Zonder toestemming is het een inbraak, hoe goed sommigen het mogen bedoelen.
Een IT control test je door de aan te tonen dat de control is uitgevoerd, zwart op wit. Dit kan zijn met een instelling in het systeem (zoals de wachtwoord settings), dit kan zijn in een verslag (zoals het jaarlijks uitvoeren van een BIA) of met een mail waarin de autorisatie review in de bijlage zit en de conclusie in de mail beschreven staat.
Hoe vaak je een control test wordt per control in het control framework vastgelegd, de eerstelijns security officer helpt met het uitvoeren van de testen en de tweede lijn security officer of risk manager voert de review uit.
Het verschil tussen opzet, bestaan en werking is enerzijds gerelateerd aan de tijd en anderzijds aan de realisatie. Opzet is de beschrijving hoe een control ingericht moet worden, voor een wijziging bijvoorbeeld dat deze altijd getest moet zijn voordat deze in productie gaat. Dit kun je vastleggen in bijvoorbeeld een change management procedure. Of dit ook zo in bestaan is, kun je aantonen door een keer een test voor productie van een change te laten zien, inclusief de formulieren waarin de test wordt vastgelegd. De werking toon je aan door (op basis van bijvoorbeeld een steekproef) aan te tonen dat alle changes getest zijn tijdens de hele periode die getest wordt (bijvoorbeeld het hele jaar).
Ontdek de mogelijkheden tijdens een kennismaking