De beveiliging, continuïteit, integriteit, beschikbaarheid en beheersing van Informatie Communicatie en Technologie in de breedste zin van het woord staan sinds een aantal jaren bij veel bedrijven hoger op de agenda dan ooit tevoren. De oorzaken zijn bekend: strengere eisen van toezichthouders, beursautoriteiten, aandeelhouders en als gevolg daarvan ook verhoogde aandacht bij Interne en Externe Auditors. De ICT omgeving van organisaties is als gevolg van overnames, de implementatie van ERP systemen (in vele soorten en varianten) en het implementeren van een diversiteit aan internetapplicaties voor klanten, leveranciers en eigen medewerkers zeer complex. De tekening van de infrastructuur en het applicatielandschap van sommige organisaties vertoont veel kenmerken van een bord spaghetti. Het voldoen aan de strengere kwaliteitseisen is dan ook zeer complexe en tijdrovende aangelegenheid.   Information Risico Management Organisaties vinden het moeilijk alle vormen van risico voldoende af te dekken. Voldoen ze aan alle juridische bepalingen en wettelijke regelgeving, beheren ze de kritische bedrijfsprocessen goed genoeg en zijn de bedrijfseigendommen voldoende afgeschermd?

De belangrijkste doelstelling van Informatie Risico Management (IRM) is organisaties te helpen met het identificeren en beheren van deze risico’s, door het implementeren van adequate controlemechanismen en tools.

Corporate Governance

Recent zijn de eisen aan corporate governance hoger geworden. Daarmee samenhangend is er ook een verhoogde aandacht voor de diverse informatiesystemen. Governance-issues zijn vastgelegd in diverse regelgeving en richtlijnen. De meest bekende is misschien wel de Sarbanes-Oxley act (SOx) in de VS, maar ook de NEN norm voor gezondheidszorginstellingen in Nederland bevat governance onderdelen. Natuurlijk kennen we ook de Nederlandse code voor corporate governance (“code Tabaksblat”). Het voldoen aan zulk soort richtlijnen kan een organisatie helpen om zekere governance doelstellingen te bereiken. Om er zeker van te zijn dat aan alle richtlijnen wordt voldaan, zou een organisatie alle interne en externe controle mechanismen moeten beschrijven. Met een uitgebalanceerde aanpak kan de organisatie een hoger niveau van controle op het gebied van de meeste beveiliging issues realiseren. Er zijn veel risico’s die organisaties kunnen bedreigen doordat ze de bedrijfsprocessen verstoren. Deze risico’s behelzen traditionele noodgevallen, zoals brand of wateroverlast maar ook fysiek of digitaal terrorisme. Elk van deze gevallen kan verstorend werken voor de bedrijfsvoering van organisaties. Hoeveel risico loopt een bedrijf vanwege beveiliging issues? Hoeveel van dit risico kan effectief ondervangen worden met het beveiligingsbudget? De meeste organisaties kunnen deze twee vragen niet beantwoorden. In veel gevallen is dat omdat ze geen processen en tools hebben om deze beveiliging issues fatsoenlijk in de gaten te houden. Ook aan de effectiviteit van de beveiligingsmaatregelen vaak niet worden meten. Zonder het meten van het beveiligingsbeleid kunnen organisaties aardig wat bedrijfsmiddelen verspillen, wordt men onnodig ten prooi gesteld aan risico’s of staan de kosten van beveiligingsprogramma’s  in geen verhouding tot wat ze op leveren. In dit boek worden de actuele thema’s binnen Information Risico Management vanuit de praktijk belicht. De indeling van het boek is geïnspireerd op het door de unit Information Risk Management gehanteerde 9 boxen model. Hierin worden de volgende aandachtsgebieden onderscheiden: Security, IT- Compliance, Business Continuity Management,IT Auditing, ICT Risk Management, Identity and Access Management, People and Culture, Role Based Access Control en ICT governance.
ICT

In de hoofdstukken geven we een overzicht van de hedendaagse dilemma’s, gebaseerd op onze praktijkervaring. In elk hoofdstuk wordt echter meer gedaan dan alleen het beschrijven van problemen. Er worden concrete oplossingsrichtingen gegeven voor problemen uit de praktijk. Daarnaast wordt elk hoofdstuk afgesloten met een top tien van praktische tips!

Interesse?

Wij maken graag een afspraak met u om van gedachten te wisselen over dit onderwerp. Vanzelfsprekend brengen wij dan een exemplaar van het boek voor u mee. Mail ons voor het maken van een afspraak.