Informatiebeveiliging
Beveiliging van systemen en gegevens vereist continue aandacht. Een gebrekkige beveiliging kan leiden tot ongeautoriseerde raadpleging of publicatie van gegevens of ernstige verstoringen van de bedrijfsprocessen door criminelen. Daar komt nog eens bij dat toezichthouders en de maatschappij in toenemende mate vragen naar bewijs en verantwoording over informatiebeveiliging en privacybescherming. Onze specialisten van Baker Tilly IT Advisory kunnen u inzicht, grip en zekerheid over uw informatiebeveiliging bieden. Wij helpen u verder met de impact van relevante, technologische vernieuwingen op de beveiligingsrisico’s en geven u het gewenste inzicht.
Beleid en risicoanalyse
Uw organisatie wil de IT-risico’s in beeld en onder controle hebben en wil tevens voldoen aan de wettelijke eisen op het gebied van IT- en informatiebeveiliging. Wij kunnen u helpen bij het inzichtelijk krijgen van de IT-risico’s die u in uw specifieke situatie loopt, het inventariseren van de reeds getroffen maatregelen en het vormen van een plan en beleid. U heeft als resultaat een actuele inventarisatie van de risico’s en informatiebeveiligingsbeleid dat u voor strategische executie en externe verantwoording kunt gebruiken.
Nadat ons advies er ligt, kunnen wij uiteraard verder begeleiden bij de implementatie van het beleid door bijvoorbeeld plannen uit te werken, de vorderingen periodiek te bespreken, suggesties te doen en de kwaliteit van uitvoering te bewaken. Omdat wij een mix van audit-, advies- en HR-ervaring hebben, kunnen wij bij uitstek een goede begeleiding bieden bij de uitvoering van beleid.
Nulmeting en advies
Wilt u exact weten aan welke (wettelijke) eisen op het gebied van informatiebeveiliging uw organisatie momenteel dient te voldoen, zonder direct een uitgebreide audit te ondergaan? Wij kunnen aan de hand van een compacte en praktische nulmeting inzicht bieden in de kwaliteit van uw informatiebeveiliging en het managementsysteem. Wij hebben een instrument ontwikkeld waarmee het meetproces gestructureerd en inzichtelijk voor u kan worden uitgewerkt. Wij maken daarbij gebruik van geldende beveiligingskaders die van toepassing zijn op uw organisatie, zoals NEN-ISO 27001 en 27002, NEN 7510 voor de zorgsector en Baseline Informatiebeveiliging Overheid (BIO) voor de publieke sector. Dit biedt direct een duidelijke opzet voor een verbeterplan en een structuur voor een reguliere controle hierop.
Omdat wij niet als auditor maar als adviseur werken bij een nulmeting, kunnen wij heel inhoudelijk en praktisch adviseren over de manier waarop u aan de geldende kaders kunt gaan voldoen, bijvoorbeeld in een informatiebeveiligingsplan. Wij werken altijd een proces en systeem uit waarmee u de geldende normenkaders en de relevante AVG-privacywetgeving op basis van risico kunt implementeren en via een managementsysteem kunt borgen. Bovendien voeren wij de werkzaamheden voor de nulmeting zoveel mogelijk samen met u uit, zodat de gehele organisatie eigenaarschap voelt voor het resultaat.
Een nulmeting geeft u een helder inzicht in uw actuele situatie met daarbij concreet advies over hoe u aan de nog niet gehaalde kaders kunt gaan voldoen. Nadat ons advies er ligt, kunnen wij u uiteraard verder begeleiden bij de implementatie, door bijvoorbeeld templates en praktijkvoorbeelden aan te reiken, de vorderingen periodiek te bespreken, suggesties te doen en de kwaliteit van uitvoering te bewaken.
Privacy-advisering
Door privacywetgeving en operationele- en reputatierisico’s is het belangrijk om uw privacygevoelige gegevens veilig op te slaan. Een eerste stap hierbij is om inzichtelijk te krijgen hoe goed uw organisatie aan de vereisten van privacywetgeving voldoet. Wij voeren voor uw organisatie een nulmeting uit om vast te stellen of de maatregelen ten aanzien van privacybescherming adequaat zijn. Vervolgens kan bepaald worden in hoeverre de huidige maatregelen dienen te worden aangepast om te voldoen aan de wetgeving. Daarbij brengen wij kennis in van datastromen en systemen en van de AVG vereisten.
Wij gebruiken daarvoor actuele en praktische kaders zoals het Privacy Control Framework van onze beroepsorganisatie NOREA. Op basis van wetgeving en praktische kaders hebben wij een instrument ontwikkeld waarmee het meetproces gestructureerd en inzichtelijk voor u kan worden uitgewerkt. Dankzij de meting kunnen wij samen met u een verbeterplan opstellen, inclusief een structuur voor de controle op uw maatregelen. Ook in de uitvoering van het verbeterplan zijn wij u graag van dienst. Omdat onze experts over een mix van audit-, advies- en HR-ervaring beschikken, kunnen wij bij uitstek een goede aanpak uitwerken om interne reviews en audits uit te kunnen voeren.
Cybersecurity
Veel ondernemers zijn zich niet bewust van cyberrisico’s voor hun organisatie, omdat de inrichting en soms ook het onderhoud van de IT vaak zijn uitbesteed. Een kleine fout door uw eigen mensen of de dienstverlener is snel gemaakt. Vaak is dit een gevolg van niet-doorgevoerde updates, onveilige systeeminstellingen of andere voorkombare problemen. Tegelijkertijd worden criminele netwerken en geopolitieke tegenstanders steeds bedrevener in het uitvoeren van cyberaanvallen.
Ook wanneer u denkt de beveiliging op orde te hebben en de nodige maatregelen te hebben genomen, is een kwetsbaarheidstest een goede manier om te testen of uw netwerk en applicaties daadwerkelijk veilig zijn. De kwetsbaarheidsscan van Baker Tilly is een compacte scan waarmee u de kwetsbaarheden van uw externe en interne IT-systemen in kaart kunt laten brengen. De aanpak is laagdrempeliger en betaalbaarder dan uitgebreide hack- en penetratietesten en kan eenmalig of in abonnementsvorm (als periodieke scan) worden afgenomen. In de scan zal geautomatiseerde, gespecialiseerde software een controle uitvoeren op kwetsbaarheden op uw netwerk en systemen, uiteraard in goed overleg met uw leveranciers en interne deskundigen.
Rapportages
Wij voorzien u van rapportages die u begrijpt en kunt uitleggen. Bovendien zorgen wij voor een technische rapportage, waarmee u uw leveranciers de achterliggende handvatten kunt geven om de kwetsbaarheden te verhelpen. De resultaten van onze kwetsbaarheidsscan helpen u om tijdig bij te sturen op de risico’s. Zo helpen wij uw omgeving veilig(er) te maken en heeft u zekerheid dat de beveiliging goed geregeld is.
Begeleiding (ISO) certificering
Wilt u de kwaliteit van uw informatiebeveiliging aantonen aan uw stakeholders middels een (ISO) certificering? Wij kunnen u begeleiden bij het inrichten en voorbereiden van deze certificering. Wij kennen de richtlijnen en kunnen deze zo passend mogelijk vertalen naar uw situatie. Daarbij weten wij hoe certificerende instellingen werken en bereiden wij u zo goed mogelijk voor op de certificeringsaudit.
Het voordeel van een ISO-certificering is enerzijds dat u zo voldoet aan de eisen van eventuele klanten, opdrachtgevers of aanbestedingstrajecten. Certificering is namelijk steeds vaker vereist. Daarnaast levert de certificering ook uw eigen organisatie voordeel op: u en uw medewerkers hebben immers laten zien dat zij processen, producten en diensten continu kunnen evalueren en verbeteren. Dat komt uiteraard uw eigen activiteiten ten goede.
Klantverhaal
Benieuwd naar wat advies bij informatiebeveiliging in de praktijk inhoudt? Lees dan ons klantverhaal, waarin we meer vertellen over de kwetsbaarheidsscan die we bij SDW hebben uitgevoerd.
