IT-security

Wilt u een security officer inhuren?

Lees verder
Background

Welkom bij Enshore Security

Vandaag de dag worden steeds meer bedrijfsprocessen gedigitaliseerd. De digitalisering zorgt voor een veelvoud aan extra mogelijkheden en functionaliteit. Tegelijkertijd nemen hierbij de risico’s ook veelvuldig toe. Hackers staan met één klik op de muis van de andere kant van de wereld aan uw digitale voordeur. Ook worden verplichtingen vanuit wet- en regelgeving strenger om hier beter en strikter mee om te gaan. Het herkennen van de risico’s en het treffen van gepaste maatregelen is geen eenvoudige opgave. Er zijn voldoende maatregelen nodig om dreigingen te mitigeren, maar de maatregelen moeten de dagelijkse gang van zaken ook niet te veel hinderen. Een risicogerichte aanpak is hierbij essentieel.

Als senior partner en oprichter van Enshore Security is het mijn persoonlijke missie om organisaties veiliger te maken en te houden. Enshore Security richt zich op het uitvoeren van een risicogerichte aanpak voor organisaties om te kunnen blijven bewegen in een complexere omgeving.

Als IT- en ISO- auditor heb ik een veel organisaties mogen beoordelen op hun effectiviteit in security. Ik zie vaak te weinig focus op eenvoud, een heldere aanpak en kwaliteit.

Vanuit deze visie begeleiden en trainen wij binnen Enshore Security onze security-professionals. Hierbij zorgen we voor voldoende aandacht voor alle aspecten van security.

Enshore Security stelt deze kennis en ervaring beschikbaar middels onze security officers.
Met ons team bieden wij een krachtige oplossing voor het verbeteren van het security volwassenheidsniveau van uw organisatie.

Marcel Dusink,
Senior partner Enshore Security

Wilt u een security officer inhuren?

Een security officer kan u onder andere helpen bij het formuleren en implementeren van informatiebeveiligingsbeleid, het uitvoeren van risico analyses, en het ontwerpen, implementeren en controleren van autorisaties. De security officers van Enshore Security beschikken over actuele kennis en ruime ervaring. U betaalt slechts voor de capaciteit die u gebruikt.

vanaf

€1000,-

per maand

Waarom een security officer?

De bescherming van uw kroonjuwelen, zoals blauwdrukken, (klant)data, uw bedrijfsvoering en het garanderen van continuïteit door middel van IT Security, is inmiddels een kritische prioriteit voor ieder bedrijf. Complexe infrastructuren en technologieën, opkomende bedreigingen en strakke naleving van regelgeving vereisen expertise en ervaring. Dit is het werk van een Security Officer. Ook wel beveiligingsfunctionaris, Functionaris Informatiebeveiliging of Chief Information Security Officer (CISO) genoemd.

Wat doet een security officer?

De belangrijkste aandachtsgebieden van een security officer zijn:

  • Formuleren en implementeren van informatiebeveiligingsbeleid;
  • Uitvoeren van risico analyses, Business Impact Analyses en Privacy Impact Analyses;
  • Het ontwerpen, implementeren en controleren van autorisaties;
  • Normenkader zoals de ISO27001 of BIO beheren en onderhouden;
  • Uitvoeren van leverancierselecties en risicomanagement;
  • Organiseren en borgen van de bedrijf continuïteit, zoals het uitvoeren van uitwijkplannen;
  • Beheersen van incidenten en opvolging aan geven;
  • Verbeteren van processen voor informatiebeveiliging;
  • Presenteren en vergroten bewustwording;
  • Interne audits uitvoeren;
  • Inzichtelijk maken van het IT-landschap en daarmee richting geven aan configuratiebeheer.
  • Borgen van de processen rondom privacy, zoals meldplicht datalekken, onderhouden van het verwerkingenregister.

Is een security officer verplicht?

Om een Iso 27001 of NEN7510 certificaat te verkrijgen, dient u over een security officer te beschikken. Bij organisaties die gecertificeerd zijn voor de NEN 7510:2017 is het verplicht om het als volwaardige functie bij één persoon neer te leggen.

Wanneer een security officer inhuren

Voor veel organisaties is de rol van een Security Officer geen fulltime functie. De organisatie kan er dan voor kiezen om het als taak bij een medewerker neer te leggen. Echter is borgen van voldoende en vooral actuele kennis een uitdaging. In dat geval kiezen veel organisaties ervoor om een Security Officer in te huren.

De security officers van Enshore Security werken nauw samen met andere afdelingen van Enshore Security. Hierbij kan men denken aan auditing of pentesting. Hiermee beschikt u niet alleen over de kennis en expertise van een security officer, maar ook over het netwerk dat hij/zij meebrengt.

Voordelen:

  • U beschikt over een Security Officer terwijl u slechts betaalt voor de capaciteit die u gebruikt.
  • Hiermee heeft u actuele kennis, ervaring en slimme professionals binnen handbereik.
  • U geeft concrete invulling aan uw wettelijke verplichtingen op het gebied van privacy en security.
  • Uw organisatie is maximaal op de hoogte van de risico’s.
  • Beheersmaatregelen zijn risicogericht geïmplementeerd.
  • Uw security administraties en registraties worden geactualiseerd.

Referenties

1.

Bij een grote gemeente hebben we een veelvoud aan audits uitgevoerd, variërend van DigiD, Ensia, datakwaliteit van basisregistraties en audits ten behoeve van de jaarrekening. Aanvullend zijn migraties beoordeeld als gevolg van een herindeling. De audits hebben geleid tot rapporten van bevindingen en aanbevelingen en deze zijn beleid tot het uiteindelijke doel bereikt werd.

2.

Bij een grote financiële instelling is een COBIT normenkader geïmplementeerd ten behoeve van de toezichthouder De Nederlandsche Bank. Alle controls behoorden tot minimaal een volwassenheidsniveau 3 geïmplementeerd te zijn (en enkele op 4). De uitvoering was in de vorm van een programma met projecten en deelprojecten. Hierbij hadden de onderwerpen leveranciersmanagement, software development, Identity & Access Management en changemanagement de primaire focus. Tevens vond er afstemming plaats met de inhouse leverancier van ICT diensten. Aan het einde van het programma is conform planning gerapporteerd aan DNB dat de organisatie op het overeengekomen volwassenheidsniveau opereerde. Dit is vastgesteld aan de hand van interne audits.

2.

3.

Bij een grote zorgverzekeraar is een programma gestart om te voldoen aan (vernieuwd) toezicht door De Nederlandse Bank. Hierbij is een programma tot uitvoering gebracht om onder meer de volgende onderwerpen te verbeteren: Identity & Access Management, Bedrijfscontinuiteitsmanagement, Changemanagement, Beleid en gedrag, Informatieclassificatie en externe interfaces (onder meer de Vecozo koppelingen). Conform planning is aan De Nederlandse Bank gerapporteerd dat het gewenste volwassenheidsniveau operationeel is.

Penetratietest

In een wereld waar grootschalige cyberaanvallen tot de orde van de dag behoren is het essentieel om uw infrastructuur en (web-) applicaties te toetsen op kwetsbaarheden. Door een penetratietest (pentest) uit te voeren kunnen eventuele gaten in de beveiliging worden geïdentificeerd en gedicht.

Vanuit wet- en regelgeving wordt het belang van regelmatig penetratietesten sterk benadrukt. Een jaarlijkse penetratietest is een vereiste voor bijna alle informatiebeveiliging certificeringen.

Enshore Security is gespecialiseerd in het uitvoeren van penetratietests. Deze leiden tot zelfstandige rapportages die bijvoorbeeld gebruikt kunnen worden als onderliggende rapportages bij audits en assessments. Hierbij kan men denken aan een penetratietest voor:

  • ISO27001 / NEN 7510 
  • DigiD
  • ENSIA
  • BIO
  • ISAE 3000 / ISAE 3402
  • SOC 1, SOC2 of SOC3

Kijkt u voor meer informatie ook eens op de site van Penetratietest.io, het onderdeel van ons Shared Service Center waar we dieper ingaan op de dienstverlening rondom penetratietesten en certificeren.