Hoe BS7799 de bedrijfssecurity verbetert
Organisaties zijn zich bewust van de noodzaak informatie te beveiligen, maar zijn vaak niet in staat dit proces vorm te geven. Om bedrijven hierbij te helpen is de BS7799 standaard, ook bekend als de Code voor Informatiebeveiliging, opgesteld. Steeds meer bedrijven implementeren de standaard. Er zijn echter nog talloze organisaties die geen gebruik van de Code maken, voor deze organisaties beschrijft dit artikel de voordelen van de Code voor Informatiebeveiliging.
Reacties (8)
Tja, jammer dat het management van bedrijven het nut van beveiliging
Uberhaupt niet inziet. En dan een beleidsdocument maken door dure
consultants: wat gaat dat kosten en hoeveel gaan we er meer door verkopen?
Uberhaupt niet inziet. En dan een beleidsdocument maken door dure
consultants: wat gaat dat kosten en hoeveel gaan we er meer door verkopen?
Het wachten is op de eerste rechtszaken in Europa waarbij
bedrijven verantwoordelijk worden gehouden voor zaken als:
Gehackte servers met:
illegale distributie FTP servers met kinderporno, films,
commerciele software,etc. Pas als de eerste boetes wegens
nalatigheid zijn uitgedeeld en de imago schade als een moker
de oragnisatie heeft wakker geschud dan...
Mail servers die naar alle klanten in de database
misleidende emails sturen die beurskoersen verstoren... En
dan aansprakelik gesteld worden voor de kosten...
Concurrenten volledige inzage hebben in je klantendatabase...
Het trieste is dat heel veel bedrijven het gewoonweg niet
merken als ze gehacked worden. Uit ervaring weet ik dat dat
zelfs bedrijven die dure externe consultants hebben zitten
met halfslachtige bewakingsoplossingen het stomweg niet eens
detecteren als ze gehacked worden.
Het probleem zit m erin dat er te veel vanuit stupide
checklisten wordt gewerkt en veel bedrijven denken dat het
blind volgen van standaarden iets opleverd. Verzekeraars
weten wel beter en wagen zich daarom er ook niet aan...
Carlo
Gaussian IT BV
bedrijven verantwoordelijk worden gehouden voor zaken als:
Gehackte servers met:
illegale distributie FTP servers met kinderporno, films,
commerciele software,etc. Pas als de eerste boetes wegens
nalatigheid zijn uitgedeeld en de imago schade als een moker
de oragnisatie heeft wakker geschud dan...
Mail servers die naar alle klanten in de database
misleidende emails sturen die beurskoersen verstoren... En
dan aansprakelik gesteld worden voor de kosten...
Concurrenten volledige inzage hebben in je klantendatabase...
Het trieste is dat heel veel bedrijven het gewoonweg niet
merken als ze gehacked worden. Uit ervaring weet ik dat dat
zelfs bedrijven die dure externe consultants hebben zitten
met halfslachtige bewakingsoplossingen het stomweg niet eens
detecteren als ze gehacked worden.
Het probleem zit m erin dat er te veel vanuit stupide
checklisten wordt gewerkt en veel bedrijven denken dat het
blind volgen van standaarden iets opleverd. Verzekeraars
weten wel beter en wagen zich daarom er ook niet aan...
Carlo
Gaussian IT BV
Een standaard zoals BS7799 (lees ISO17799) is een goed begin voor een
beveiligingsbeleid. Een goed begin is het halve werk, probleem is vaak dat
het beleid niet vertaald wordt naar implementatieplannen en -budgetten. Als
er geen dure externe consultant wordt ingezet, valt de keus vaak op een
weggepromote interne medewerker. Het aantal interne en externe kneuzen
overtreft het aantal deskundigen. Van de deskundigen hebben er maar een
paar de vaardigheden om de plannen daadwerkelijk te implementeren (als
ze al budget en commitment hebben gekregen).
Laat ik het maar niet hebben over bedrijven die denken dat een firewall
genoeg is voor info beveiliging. ARGH@#$%%
beveiligingsbeleid. Een goed begin is het halve werk, probleem is vaak dat
het beleid niet vertaald wordt naar implementatieplannen en -budgetten. Als
er geen dure externe consultant wordt ingezet, valt de keus vaak op een
weggepromote interne medewerker. Het aantal interne en externe kneuzen
overtreft het aantal deskundigen. Van de deskundigen hebben er maar een
paar de vaardigheden om de plannen daadwerkelijk te implementeren (als
ze al budget en commitment hebben gekregen).
Laat ik het maar niet hebben over bedrijven die denken dat een firewall
genoeg is voor info beveiliging. ARGH@#$%%
Het is weer zo´n typisch Brits artikel, de rest van de wereld volgt langzaam
onze ideeen op. Brittannia rules the waves. Die Engelsen zijn met hun
nationalisme soms nog irritanter dan Fransen.
Raar, er hebben aan BS7799 ook Nederlandse organisaties meegewerkt en
de BS7799 is al jaar en dag geaccepteerd als de Code voor
Informatiebeveiliging en door ISO als norm geaccepteerd namelijk de
ISO17799. Ook COBIT met als thuisbasis de USA, heeft al jaren terug
BS7799 als bron gebruikt en naar verwezen voor haar IT Governance model.
Voor alle duidelijkheid, BS7799-ISO17799 is geen standaard maar een
normenkader. Dit normenkader heeft als belangrijkste kenmerk en
succesfactor dat de normen aanpasbaar zijn aan de meeste organisaties.
Een standaard daarintegen is onveranderlijk, normen kunnen in een
standaard niet per onderozeksobject worden aangepast.
onze ideeen op. Brittannia rules the waves. Die Engelsen zijn met hun
nationalisme soms nog irritanter dan Fransen.
Raar, er hebben aan BS7799 ook Nederlandse organisaties meegewerkt en
de BS7799 is al jaar en dag geaccepteerd als de Code voor
Informatiebeveiliging en door ISO als norm geaccepteerd namelijk de
ISO17799. Ook COBIT met als thuisbasis de USA, heeft al jaren terug
BS7799 als bron gebruikt en naar verwezen voor haar IT Governance model.
Voor alle duidelijkheid, BS7799-ISO17799 is geen standaard maar een
normenkader. Dit normenkader heeft als belangrijkste kenmerk en
succesfactor dat de normen aanpasbaar zijn aan de meeste organisaties.
Een standaard daarintegen is onveranderlijk, normen kunnen in een
standaard niet per onderozeksobject worden aangepast.
De BS7799 is toch bovenal een staaltje checklist management, waarbij je
niet kunt stellen dat e.e.a. iets toevoegen kan aan de bedrijfsvoering.
Daarbij een flexibiliteit van nul, wat logisch is gezien de herkomst (britse
overheid, britse telecom pre-privatisering). De normen aanpasbaar?
Absoluut niet. Dan behaal je de certificering immers niet.
En ook anderzins is de benadering zwak - ze veronderstelt immers dat als
je een bepaalde maatregel neemt - verplichte awareness - dat deze
succesvol is: de gebruikers en propheads weten 'alles' wat ze moeten
weten.
De BS stal is leuk voor consultants en auditoren, maar verder
contraproductief, saai en rigide. Ik zou zeggen: voer het eens in, dan leer je
dat wel, als je dat niet gedaan hebt ben je theoreticus. Ook fijn, maar
positioneer je svp niet als kundige. Het false authority syndrome komt
binnen itsec wel erreg veel voor, zodanig dat dat een belangrijke reden is
voor bedrijven er maar niets aan te doen. Alles beter dan een betweter!
niet kunt stellen dat e.e.a. iets toevoegen kan aan de bedrijfsvoering.
Daarbij een flexibiliteit van nul, wat logisch is gezien de herkomst (britse
overheid, britse telecom pre-privatisering). De normen aanpasbaar?
Absoluut niet. Dan behaal je de certificering immers niet.
En ook anderzins is de benadering zwak - ze veronderstelt immers dat als
je een bepaalde maatregel neemt - verplichte awareness - dat deze
succesvol is: de gebruikers en propheads weten 'alles' wat ze moeten
weten.
De BS stal is leuk voor consultants en auditoren, maar verder
contraproductief, saai en rigide. Ik zou zeggen: voer het eens in, dan leer je
dat wel, als je dat niet gedaan hebt ben je theoreticus. Ook fijn, maar
positioneer je svp niet als kundige. Het false authority syndrome komt
binnen itsec wel erreg veel voor, zodanig dat dat een belangrijke reden is
voor bedrijven er maar niets aan te doen. Alles beter dan een betweter!
30-03-2004, 11:21 door
Jos Buurman
Binnen onze organisatie wordt BS7799 op dit moment als kapstok gebruikt
voor het implementeren van maatregels en het formuleren van beleid.
Hierbij wordt een beetje op de zelfde manier omgegaan als met ITIL.
Onderdelen die makkelijk te implementeren zijn en/of waarvan het
organisatie-nut makkelijk te bepalen is zijn ingevoerd, andere onderdelen
volgen misschien nooit (geen noodzaak, niet rendabel).
Ik kan mij voorstellen dat BS7799 zeer goed werkt in formele (grote)
organisaties, maar dat kleinere, informelere organisaties erg tegen de
overhead en de hoeveelheid werk aan hikken.
Zolang bedrijven de ondernemersrisico's die aan informatieverwerking
hangen niet in zien zal dit nooit hoog op de agenda komen.
voor het implementeren van maatregels en het formuleren van beleid.
Hierbij wordt een beetje op de zelfde manier omgegaan als met ITIL.
Onderdelen die makkelijk te implementeren zijn en/of waarvan het
organisatie-nut makkelijk te bepalen is zijn ingevoerd, andere onderdelen
volgen misschien nooit (geen noodzaak, niet rendabel).
Ik kan mij voorstellen dat BS7799 zeer goed werkt in formele (grote)
organisaties, maar dat kleinere, informelere organisaties erg tegen de
overhead en de hoeveelheid werk aan hikken.
Zolang bedrijven de ondernemersrisico's die aan informatieverwerking
hangen niet in zien zal dit nooit hoog op de agenda komen.
Implementatie van ieder 'standaard' is altijd moeilijk. Vaak wordt vergeten
dat het niet gaat om het implementeren per se, maar het interpreteren en
toepassen in de eigen situatie.
Een standaard geimplementeerd hebben die niets toevoegt of alleen maar
geld kost heeft geen zin, een standaard interpreteren voor de eigen situatie
en deze inpassen in de eigen organisatie wel.
Bij het hanteren van de BS7799 geldt hetzelfde, er wordt niet gerept over
het invoeren van het totaal aan maatregelen, er wordt zelfs alleen op
hoofdlijnen aandacht aan besteed. Deze standaard leent zich dan ook bij
uitstek tot interpretatie en gebruik in de eigen situatie.
dat het niet gaat om het implementeren per se, maar het interpreteren en
toepassen in de eigen situatie.
Een standaard geimplementeerd hebben die niets toevoegt of alleen maar
geld kost heeft geen zin, een standaard interpreteren voor de eigen situatie
en deze inpassen in de eigen organisatie wel.
Bij het hanteren van de BS7799 geldt hetzelfde, er wordt niet gerept over
het invoeren van het totaal aan maatregelen, er wordt zelfs alleen op
hoofdlijnen aandacht aan besteed. Deze standaard leent zich dan ook bij
uitstek tot interpretatie en gebruik in de eigen situatie.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
