
Begin van het certificeringstraject voor informatiebeveiliging
Begin stage
Begin februari is mijn stageperiode van start gegaan bij Sensus Process Management. Als derdejaars Business IT & Management student was ik op zoek naar een stage waar ik aan de slag kon gaan met het modelleren en verbeteren van bedrijfsprocessen.
Na een zoektocht naar mogelijke stageplekken was mijn voorkeur uit gegaan naar Sensus Process Management, een modern softwarebedrijf die gespecialiseerd is in het modelleren en visualiseren van bedrijfsprocessen met hun eigen unieke methodiek, de Sensus-methode. Een stagebedrijf dat precies aansluit op mijn wensen en opleiding!
Tijdens het sollicitatiegesprek met Hans Haack en Monique van Dodewaard kwam er naar voren dat Sensus process management op zoek was naar een stagiair die het bedrijf zou helpen met het certificeringstraject voor de ISO 27001 voor Informatiebeveiliging. Op de Hogeschool Utrecht had ik al enkele cursussen gevolgd over bepaalde ISO-normen, dus dit leek mij wel een interessant onderwerp voor mijn stageopdracht om er nog dieper in te duiken en mijn kennis op dat gebied te verbreden.
ISO 27001
Informatiebeveiliging is anno 2020 een erg belangrijk begrip voor bedrijven, met softwarebedrijven in het bijzonder. Cybercriminaliteit neemt steeds meer toe. De Autoriteit Persoonsgegevens ontving dit jaar een kwart (25%!) meer meldingen naar aanleiding van hacking, phising of malware-incidenten dan in het jaar daarvoor. Als je dit soort berichten leest en op het nieuws vaker ransomware gevallen voorbij ziet komen waarbij je gegevens en bestanden ‘gegijzeld’ worden, zag ik gauw het belang van informatiebeveiliging. Een erg interesseante en uitdagende stageopdracht dus!
Sensus Process Management
Mijn stage begon bij een intern onderzoek. Ik moet tenslotte inzicht hebben in de organisatie en haar context. Wie is Sensus process management, wie zijn haar klanten – maar misschien nog belangrijker – wie zijn de medewerkers waar ik de komende zes maanden mee ga samenwerken.
Terwijl ik bezig was met het intern onderzoek voor mijn plan van aanpak, was ik ook bezig met de training van de online BPM-oplossing van Sensus process management. Elke medewerker moet deze training volgen zodat iedereen bekend is met de eigen softwareoplossing en methodiek (namelijk: Sensus BPM Online), erg handig!
Na het analyseren van de interne bedrijfsprocessen kon ik aan de slag met het stappenplan van implementatie ISO 27001. Het bepalen van de scope van het informatiebeveiliging managementsysteem is erg belangrijk. De scope geeft namelijk aan waarvoor je het ISO-certificaat precies wilt behalen. Alles wat buiten de scope valt wordt niet in de certificering meegenomen. Je kiest als het ware welke informatie en welke onderdelen binnen je organisatie je wilt gaan beveiligingen.

Risicoanalyse
Onder begeleiding van Monique van Dodewaard ben ik de afgelopen maanden bezig geweest met mijn onderzoek naar welke stappen gezet moeten worden binnen Sensus process management om aan de ISO-norm 27001 te voldoen. Een onderdeel daarvan is het uitvoeren van een risicoanalyse. Hierdoor krijg je namelijk inzicht in de (mogelijke) risico’s van de organisatie en kan je beoordelen in hoeverre de beveiliging in je organisatie op een acceptabel niveau is.
Als nieuw medewerker kijk ik met een neutrale en frisse blik naar de aspecten van de organisatie en kunnen andere dingen sneller opvallen. Mijn rol als stagiair kan daarom heel waardevol zijn voor bijvoorbeeld het verbeteren van processen op het gebied van informatiebeveiliging.
Door de huidige situatie waarin wij ons nu bevinden, heb ik meerdere sessies per afdeling georganiseerd in een online meeting om de bedrijfsprocessen te bespreken en de mogelijkheden dreigingen in kaart te brengen. Daar kwamen per sessie interessante bevindingen uit. Zo bleek uit een risicoanalyse sessie dat bij nieuwe medewerkers geen tweestapsverificatie ingesteld staat.
Momenteel ben ik nog bezig om alle “dreigingen” overzichtelijk te maken. Vervolgens kunnen wij beoordelen welke beheersmaatregelen van de ISO 27002 van toepassing zijn om deze dreigingen en risico’s af te dekken.
Benieuwd naar het vervolg? Schrijf je in voor de nieuwsbrief zodat je up-to-date blijft!
Wilt u op de hoogte blijven van onze ISO blogs? Meld u hier aan!
