Bestuurder, deze vragen moet u stellen!

Bestuurder, deze vragen moet u stellen!

DearBytesBlogBestuurder, deze vragen moet u stellen!

Informatiebeveiliging en cybersecurity staan hoog op de agenda van de Raad van Bestuur van verschillende type bedrijven. Risicobewustzijn en aandacht voor het beschermen van vertrouwelijke gegevens nemen sterk toe, met name door een fikse stijging van incidenten. Denk hierbij aan malware, phishing, onze Wet Bescherming Persoonsgegevens en de Europese verordening.

Er ligt een grote verantwoordelijkheid bij bestuurders als het gaat om dit onderwerp, zo is de norm voor informatiebeveiliging ‘ISO27001’ hier bijvoorbeeld duidelijk in;

‘De directie is niet alleen op papier verantwoordelijk, maar moet het beleid ook actief monitoren, aanscherpen en goedkeuren.’

Voor een groot deel van het bedrijfsleven blijft dit onderwerp een flinke uitdaging.

Maturity Check vragen

Om dit eenvoudiger te maken moeten bestuurders ervoor zorgen dat ze in samenwerking met de security verantwoordelijke(n) een startpunt creëren om ‘aantoonbaar’ in control te komen. Om een mooi startpunt te creëren hebben wij vanuit onze DearBytes Security Maturity Check tool een kleine samenstelling gemaakt van kritische vragen die wij graag met u willen delen. De vragen moeten door het bestuur en de security verantwoordelijke(n) overwogen worden om de risico’s te mitigeren, en zo uiteindelijk prioriteiten op strategisch, tactisch en operationeel niveau te kunnen bepalen.

Samenstelling vragen:

  • Hoe zeker zijn we ervan dat onze bedrijfsmiddelen goed worden beheerd en beveiligd tegen cybersecuritybedreigingen?
  • Hoe wordt de security governance gemanaged? (Aan wie rapporteren bijvoorbeeld de security verantwoordelijkheden?)
  • Zijn alle rollen en verantwoordelijkheden geborgd?
  • Wat is het huidige niveau en business impact van de risico’s?
  • Wat zijn onze top 5 cyber security risico’s?
    Denk hierbij aan:

    • Internet of things
    • Bring your own device
    • Cloud Computing
    • Outsourcen van kritische business processen naar leveranciers of partners. (Wie zijn onze 3de partijen/leveranciers?)
    • Disaster recovery & Business continuity
    • Periodieke toegang (logisch en fysiek)
    • Interne bedreigingen, menselijk falen
  • Wat is ons plan m.b.t. geïdentificeerde risico’s? (zijn er risico eigenaren gedefinieerd?)
  • Is ons plan compliant aan internationale standaarden en best practices?
  • Hoeveel en wat voor type incidenten detecteren we per week/maand?
  • Wanneer wordt het bestuur geïnformeerd? (wat is de drempel)
  • Hoe uitgebreid is ons (information)Security incident response plan?
  • Hoe vaak wordt deze getest?
  • Krijgen we regelmatig intel over aanvallen die kunnen/worden gericht op ons bedrijf?
  • Wat zijn de methodes die kwaadwillende gebruiken en wat zijn hun motivaties?
  • Hoe worden medewerkers (denk hierbij ook aan management) bewust gemaakt van hun rol m.b.t. informatiebeveiliging?
  • Zijn de maatregelen die wij nemen om risico’s te beheersen effectief genoeg?
  • Hoe vaak vinden er audits plaats, wat zijn hiervan de belangrijkste bevindingen en worden aanbevelingen tijdig opgepakt?
  • Worden bevindingen en conclusies van audits teruggekoppeld aan het bestuur?

Zorg als bestuurder dat je ten alle tijden antwoord krijgt op dit soort vragen. Kun je dat deels of helemaal niet? Dan weet je dat je de komende tijd aan de bak moet om grip te krijgen op de beveiliging van uw dierbaarste informatie.

Mocht u hierbij hulp nodig hebben of wilt u bijvoorbeeld meer weten over de status van uw informatiebeveiliging via onze DearBytes Security Maturity check, DearBytes informeert u graag over de mogelijkheden en kan uw organisatie via een pragmatische manier helpen met het realiseren van een optimale informatiebeveiliging en cybersecurity.