Computable.nl
  • Thema’s
    • Carrière
    • Innovatie & Transformatie
    • Cloud & Infrastructuur
    • Data & AI
    • Governance & Privacy
    • Security & Awareness
    • Software & Development
    • Werkplek & Beheer
  • Sectoren
    • Channel
    • Financiële dienstverlening
    • Logistiek
    • Onderwijs
    • Overheid
    • Zorg
  • Computable Awards
    • Overzicht
    • Nieuws
    • Winnaars
    • Partner worden
  • Vacatures
    • Vacatures bekijken
    • Vacatures plaatsen
  • Bedrijven
    • Profielen
    • Producten & Diensten
  • Kennisbank
  • Nieuwsbrief

Zijn alle kwetsbaarheden in de organisatie in zicht?

09 december 2014 - 08:564 minuten leestijdAdvertorialCloud & Infrastructuur
Redactie Computable
Redactie Computable

De beveiliging van bedrijfs-ict heeft richtlijnen nodig. Kwetsbaarheden kunnen op basis van een aantal eenvoudige stappen worden doorgelicht. Daarbij kan het bedrijfsleven veel leren van ITIL (Information Technology Infrastructure Library). De door ict service management gebruikte verzameling van best practices, kan in aangepaste vorm zeer nuttig zijn voor het borgen van ict-beveiligingsprocessen. Het is tijd voor ITIL voor security.

Over deze blogger

Don Smith is een toonaangevende informatiebeveiligingsdeskundige die aan het hoofd staat van het security-team van Dell EMEA. Zijn nauwe band met de “Counter Threat Unit” van Dell SecureWorks geeft hem een ongeëvenaard inzicht in verschillende vormen van bedreigingen. Dit vertaalt zich in  effectieve tegenmaatregelen en veiligheidsstrategieën. Don deelt zijn expertise als spreker op conferenties op regeringsniveau en op bijeenkomsten over security wereldwijd. Hij werkt sinds zo’n 20 jaar in de IT-industrie en is sinds zes jaar werkzaam bij Dell SecureWorks. In 2005 was Don bij dns een van de architecten bij de ontwikkeling van de identity management en managed security portfolio. Toen SecureWorks dns in 2009 overnam werd hij verantwoordelijk voor de security-strategie voor EMEA en na de overname van SecureWorks door Dell is hij in deze rol gebleven.

De implementatie van ITIL in de organisatieprocessen is vergelijkbaar met de ISO 9000-certificering in de niet-IT-branche. Hierbij worden alle bedrijfsonderdelen gerangschikt in een hiërarchie wat betreft bevoegdheden en verantwoordelijkheden. Ict-beslissers en -managers zijn, als het op security aankomt, vaak vooral gefocust op de technologie. Vooral bij de inrichting van security zou de nadruk juist meer op beleid moeten liggen. Beveiliging begint namelijk bij een pragmatische kijk op security. Het is allereerst van belang dat IT- managers helder hebben waar de grootste uitdagingen op het gebied van security voor hun organisatie liggen. Om dat te begrijpen moet eerst in kaart worden gebracht wat de kern is van de bedrijfsactiviteiten. Vervolgens wordt bepaald waar de belangrijkste bedrijfsmiddelen, meestal data, zich bevinden en hoe die het beste beveiligd kunnen worden. Breng het management bij elkaar en benoem wat de belangrijkste bedrijfsdata zijn. Stel daarbij vragen als: ‘Wat zijn onze kroonjuwelen op het gebied van bedrijfsgegevens? Waar bevinden die zich? Wat kost het als we bepaalde data zouden verliezen door diefstal? Enzovoort.

Kwetsbaarheden in zicht krijgen

Vervolgens kan gekeken worden welke data publiekelijk kan worden gedeeld, welke data vertrouwelijk is, voor welke data restricties gelden voor bepaalde gebruikers enzovoort. Daarna wordt bekeken waar die bedrijfsgevoelige data is. Daarbij draait het om vragen als: op welke apparatuur staat die data? Is de infrastructuur in orde? Is de software up to date? Op welke platformen is de data beschikbaar en dus kwetsbaar? Zo krijgt uw organisatie inzicht in de kwetsbaarheden van de beveiliging. Dat maakt de weg vrij voor bijvoorbeeld technische keuzes en de inrichting van security. Voordat bedrijven zich gaan buigen over die technische invulling is het dus belangrijk om heel pragmatisch naar security te kijken en dat proces op te delen in stappen.

Veel bedrijven zijn op het gebied van ict-beheer bekend met ITIL. Dat staat voor een reeks van praktijkoplossingen (best practices) voor het inrichten van ict-beheerprocessen. Zouden we die bron voor ict service management vertalen naar security, dan ontstaat een krachtig referentiekader van modellen, concepten en processen die de pragmatische inrichting van security verbeteren. Zou u ITIL vertalen naar security-beleid dan ontstaat een model waarin bijvoorbeeld procedures zijn geborgd voor event-management, asset-management, gebruikers- en threat-management, incident response-management enzovoort. Ik wil hier geen onuitputtelijke opsomming geven, maar het doel is om inzichtelijk te maken hoe u die aanpak van security beleidsmatig kunt inrichten. ITIL voor security betekent dat u op basis van een aantal vaste stappen en procedures uw security-beleid vorm geeft.

Eindgebruikers

De inrichting van security is één, maar de uitvoering is natuurlijk de volgende stap. Daarbij valt me op dat ict-beslissers en managers die over security gaan zich vaak te weinig richten op bewustwording onder eindgebruikers. Daar kan training ook een belangrijke rol spelen. Het loont bijvoorbeeld om bepaalde spelregels vast te leggen in security-beleid. Gebruikers denken bijvoorbeeld nog steeds dat email betrouwbaar is. Maar in feite is het een van de meest onbetrouwbare systemen binnen de beveiligingsketen geworden. Bedenk hoe u voor uw organisatie die kwetsbaarheden kunt verminderen door een vertaling van ITIL naar security-beleid. 

Meer over

Storage

Deel

    Inschrijven nieuwsbrief Computable

    Door te klikken op inschrijven geef je toestemming aan Jaarbeurs B.V. om je naam en e-mailadres te verwerken voor het verzenden van een of meer mailings namens Computable. Je kunt je toestemming te allen tijde intrekken via de af­meld­func­tie in de nieuwsbrief.
    Wil je weten hoe Jaarbeurs B.V. omgaat met jouw per­soons­ge­ge­vens? Klik dan hier voor ons privacy statement.

    Whitepapers

    Computable.nl

    Beveiliging begint bij de Server

    Waarom lifecycle-denken cruciaal is voor IT-security

    Computable.nl

    Bouw de AI-organisatie niet op los zand

    Wat is de afweging tussen zelf bouwen of het benutten van cloud?

    Computable.nl

    Slimme connectiviteit: de toekomst van bouwen

    Hoe stoom jij jouw organisatie in de bouw en installatie sector klaar voor de digitale toekomst?

    Meer lezen

    Start
    ActueelCloud & Infrastructuur

    Kort: Vergunning voor datacenter EvoSwitch, piepjonge Perry haalt 1,6 miljoen op (en meer)

    Filter
    OpinieCloud & Infrastructuur

    Ddos-aanvallen (en waarom L3-filtering niet optioneel is)

    Handen, samenwerken, fusie
    ActueelOverheid

    Meer regie en samenwerking bij digitalisering overheid

    ActueelGovernance & Privacy

    Microsoft: we zijn geen hulpsheriff

    ActueelCloud & Infrastructuur

    HPE-Juniper vormt blok tegen Cisco

    OpinieCloud & Infrastructuur

    Opkomst van soevereine clouds: stel dataportabiliteit centraal

    Geef een reactie Reactie annuleren

    Je moet ingelogd zijn op om een reactie te plaatsen.

    Populaire berichten

    Meer artikelen

    Uitgelicht

    Partnerartikel
    AdvertorialInnovatie & Transformatie

    Ontdek de toekomst van IT-support en m...

    Op 16 september 2025 vindt in de Jaarbeurs in Utrecht een gloednieuw event plaats dat volledig is gericht op IT-professionals:...

    Meer persberichten

    Footer

    Direct naar

    • Carrièretests
    • Kennisbank
    • Planning
    • Computable Awards
    • Magazine
    • Abonneren Magazine
    • Cybersec e-Magazine
    • Topics

    Producten

    • Adverteren en meer…
    • Jouw Producten en Bedrijfsprofiel
    • Whitepapers & Leads
    • Vacatures & Employer Branding
    • Persberichten

    Contact

    • Colofon
    • Computable en de AVG
    • Service & contact
    • Inschrijven nieuwsbrief
    • Inlog

    Social

    • Facebook
    • X
    • LinkedIn
    • YouTube
    • Instagram
    © 2025 Jaarbeurs
    • Disclaimer
    • Gebruikersvoorwaarden
    • Privacy statement
    Computable.nl is een product van Jaarbeurs