Aan de volgende onderdelen moet gedacht worden bij de opzet van een security programma binnen een organisatie. Doel van een dergelijk security programma is om informatiebeveiliging te borgen of te verbeteren.

Twee basisvoorwaarden voor de opzet van een security programma

Management commitment

Een voorwaarde is management commitment. Of het nu security programma’s zijn die opgezet gaan worden of projecten die moeten gaan lopen. Waarom?, heel eenvoudig, zonder ondersteuning van het management zijn er geen resources en budget beschikbaar en daarmee geen voortgang.

Betrek de organisatie vanaf het begin

Betrek de organisatie bij de onderstaande stappen. Dit zorgt er voor dat het security programma geaccepteerd wordt en het vergroot de kans dat de juiste kennis aan tafel komt.

Stappen opzet security programma

Bepaal waar de risico’s liggen

Middels een risico analyse krijgt de organisatie zicht op de gevaren die men loopt aangaande informatiebeveiliging. Daarnaast maakt dit een classificatie van risico’s mogelijk waarmee de prioriteiten bepaald kunnen worden bij het ontwerp en de implementatie van de maatregelen.

Ontwerp maatregelen

De risico’s die uit de risico analyse zijn gekomen dienen beoordeeld te worden. Er dient bepaalt te worden welke maatregelen genomen kunnen worden om het risico te verminderen, vermijden etc.

Bedenk in deze fase ook of de te nemen maatregelen gecontroleerd moeten worden. Voor sommige maatregelen zal het overduidelijk zijn dat ze werken. B.v. een groot hek om het gebouw, maar voor andere maatregelen b.v. “is de firewall adequaat ingericht” zullen controles moeten worden bedacht. Overdenk van te voren hoe een maatregel gecontroleerd kan worden en of de inspanning reëel is. Komt men tot de conclusie dat dit niet het geval is, overweeg dan een andere invulling van de maatregel.

Implementeer de maatregelen in de organisatie

Dit is de fase die de meeste tijd in beslag gaat nemen. Alle maatregelen moeten geïmplementeerd gaan worden en opgenomen in de werkwijze van de organisatie.

Controle en borging

Het gaat er in deze stap om dat er een proces wordt opgezet waarmee op periodieke momenten gecontroleerd wordt of de maatregelen effectief zijn. Indien blijkt dat de maatregelen niet goed werken dienen deze vervolgens te worden bijgestuurd, dit is een continu proces. Rapporteer de bevindingen aan het management zodat bijsturing mogelijk is.