audittrail

Inhoud Alle organisaties willen voldoen aan informatiebeveiligings- en privacynormen. Het gebruik van tooling daarbij is anno 2021 essentieel. Audittrail levert samen met Mavim het Compliance Management Framework (CMF). Hoe helpt dit systeem aan deze normen te voldoen, de administratieve last te verminderen én maximaal inzicht te verkrijgen in wat goed of minder goed geregeld is binnen een organisatie? Een gesprek daarover met Ralph Drijver, Business Developer bij Audittrail. Het opzetten van de administratie rondom het voldoen aan informatiebeveiligings- en privacynormen is complex, begint Ralph het gesprek. “Als je naar informatiebeveiliging en privacywetgeving kijkt, zijn er bij alle organisaties extreem veel spreadsheets, Word-documenten en andere informatiebronnen die worden gebruikt en toegepast voor de vastlegging. De administratieve last en druk is hoog maar men moet natuurlijk wel voldoen aan de wet. Dus men moet vastleggen, organiseren en borgen ten behoeve van de verantwoordingsplicht.”   Eenvoudiger en geoptimaliseerd Het is voor beide disciplines essentieel de risico’s te mitigeren en maximaal inzicht te hebben in de staat van compliance, de actualiteit van verplichte en noodzakelijke documenten en de consistentie van de volledige inhoud. Ralph: “Maar kun je dat bereiken door niet de juiste instrumenten toe te passen? In andere woorden: de administratie rond informatiebeveiliging en privacy moet eenvoudiger en geoptimaliseerd worden.”   Tweedimensionaal beeld en drukke officers Door bij informatiebeveiliging en privacy alleen gebruik te maken van bijvoorbeeld Microsoft Office en losse documenten, creëer je volgens Ralph een tweedimensionaal beeld van de staat van compliance. “Dit beschermt de organisatie niet voldoende en levert behoorlijke risico’s op. Daarnaast hebben de privacy- en security officers vaak zo’n administratieve druk en moeten ze zoveel handelingen uitvoeren, dat ze hun adviserende en regievoerende rol amper kunnen oppakken.” “Het is zoals bij een voetbalelftal; iedere speler heeft een of meerdere rollen in het veld. Het schakelen tussen deze rollen levert echter het grootste risico op voor een counter en een tegengoal. En omdat deze officers met zoveel druk te maken hebben en steeds moeten omschakelen, neemt de kans op een fout alleen maar toe.”   Essentiële tooling Gebruikmaken van de juiste tooling is daarom essentieel, gaat Ralph verder. “Dit geeft je organisatie veel meer vrijheid en een hogere mate van control. Informatieonderdelen kunnen eenmalig vastgelegd worden en vervolgens binnen verschillende disciplines worden hergebruikt voor automatische, consistente rapportages en BI-inzichten. Maar ook de verbinding tussen mensen, processen en systemen wordt hierdoor duidelijker. Dat verkrijg je niet wanneer je alleen gebruikmaakt van Excel of Word. Wanneer je vragen kunt beantwoorden zoals ‘wie doet wat en binnen welk proces’, ‘waarom doen we deze handeling’ en ‘welke maatregelen dekken deze risico’s af’, dan heb je een goede tool in huis. De tooling hoort je een driedimensionaal inzicht te bieden zodat je kunt sturen, managen en anticiperen vanuit inzicht en op feiten gebaseerde informatie.”   Verbinding met bredere uitdagingen Daarbij is het belangrijk om met de tooling de verbinding te zoeken met de bredere uitdagingen binnen de organisatie. Ralph: “Heb je deze verbinding niet, dan is een nieuw systeem slechts een pleister op de wond. Stel je voor dat de privacy-afdeling een apart systeem zoekt voor privacymanagement zonder de verbinding te zoeken met de informatiebeveiligingsuitdagingen en het GRC-domein. Dan gaat iedereen zijn eigen systeem hanteren zonder echt de link te leggen naar de organisatiestrategie en het GRC. Het systeem is dan snel niet meer afdoende of te auditen. Het organiseren van de verantwoording of de toetsing hiervan wordt dan wel erg lastig.”   Compliance Management Framework Om organisaties te helpen wél over deze samenhang te beschikken, levert Audittrail het Compliance Management Framework (CMF). Ralph: “Dit is een blauwdruk om vanuit informatiebeveiliging de verbinding te zoeken naar privacymanagement en vice versa. Ook kun je met het CMF de business faciliteren met correcte, overzichtelijke informatie ten behoeve van sturing en besluitvorming. Binnen het systeem wordt de volledige administratieve last van de compliance-administratie afgedekt en verkrijgt de organisatie maximaal inzicht in alle zaken die goed of minder goed geregeld zijn.”   Ondersteuning naar volwassen compliance Voor veel organisaties is nu hét juiste moment om aan de slag te gaan met het CMF, vertelt Ralph: “Men is vaak al druk bezig met alle typen en soorten documenten en spreadsheets, ook al hebben deze als instrument voor informatiebeveiligings- en privacynormen meer nadelen dan voordelen. Vaak zegt men wel eerst ‘de boel op orde’ te willen krijgen voordat een visie wordt gevormd of een serieuze tool wordt aangeschaft. Het tegenargument is: als het in de afgelopen drie jaar – of zelfs langer – niet gelukt is de basis op orde krijgen, waarom zou je dan steeds hetzelfde blijven proberen?” “Ons argument is om het nu andersom te doen en vanuit een vooraf door experts gedefinieerde visie, met een goed instrument te gaan werken aan de volwassenheid van de organisatie. Het CMF neemt organisaties bij de hand en heeft alle inrichtingselementen en inhoudelijke voorwaarden in zich om het project stapsgewijs naar volwassen compliancemanagement te kunnen ondersteunen. Zo investeer je als organisatie juist in een platform wat multidisciplinair kan bijdragen aan deze volwassenheidsreis en de strategische doelstellingen van de organisatie. Dat zal zich dan altijd terugverdienen op meer vlakken dan meetbaar is in droge cijfers.”   Microsoft Office, maar dan geïntegreerd Het CMF is gebouwd op Microsoft-technologie maar maakt gebruik van Mavim. “Dit geeft organisaties bijvoorbeeld de mogelijkheid om processen uit te tekenen in Microsoft Visio, Word of Excel, waarna de processen kunnen worden hergebruikt in andere documentatie. Omdat namelijk alles wordt vastgelegd in een database, is het mogelijk om veel zaken als informatie-element vast te leggen waarna je vanuit één waarheid die informatie kunt toepassen. Bijvoorbeeld in rapportages of in BI-dashboards. Daarnaast is het grote voordeel van Mavim-technologie dat veel zaken heel logisch en begrijpelijk zijn. Het is Microsoft Office, maar dan geïntegreerd in een database. Die herkenning maakt het ook in gebruik een stuk eenvoudiger voor medewerkers.”   Integraal werken aan GRC Op donderdag 8 juli geeft Audittrail tussen 09:00 en 10:30 een webinar over het gebruik van het CMF. “Hierin gaat het met name over integraal werken aan GRC,” sluit Ralph af. “Want alleen als een team win je deze wedstrijd. Naast een visiepresentatie zullen wij ook een demo geven van het platform en de inhoud van onze oplossing. Zo kunnen bezoekers de meerwaarde van het CMF voor de organisatie ervaren, zien hoe je de verplichtingen rondom vastlegging, verantwoording en rapportage afdekt én ervaren hoe het systeem het management faciliteert.”   Audittrail is een audit- en adviesorganisatie op het gebied van security, privacy en GRC. Audittrail ondersteunt organisatie met het opzetten van bewustwordingsprogramma’s en biedt organisatie inzicht in het bewustwordingsniveau van haar medewerker. Ben je geïnteresseerd in hoe jouw organisatie reageert op een phishingmail of heb je vragen naar aanleiding van dit artikel? laat het ons weten via mail@audittrail.nl of via 071 – 747 17 17.     Deze blogpost is geschreven door onze partner Audittrail. Wil je meer weten over het Compliance Management Framework? Bezoek dan deze pagina of download de factsheet.    

Inhoud Hoe veilig is procesautomatisering? Waterschappen, energiebedrijven, fabrieken, logistieke organisaties: het klinkt als organisaties die niet veel gemeen hebben. Toch zijn er nadrukkelijke overeenkomsten: ze maken allemaal gebruik van machines die aangestuurd worden door IT. De zogenaamde Operationele Techniek (OT). En dat is nadrukkelijk een specifieke en andere tak van sport! Het uitvallen of gehackt worden van OT, ook wel procesautomatisering genoemd, kan desastreuze gevolgen hebben. Denk aan het door criminelen openzetten van sluizen, ransomware in de systemen van fabrieken, infecties in waterleidingsystemen.   Hacks We hebben het de afgelopen jaren vaker gezien. Zo werd een Noors aluminiumbedrijf gehackt en onlangs een drinkwaterbedrijf in Florida, USA. Voor het Noorse bedrijf betekende het dat zij wekenlang hun productie moesten staken en hun IT van de grond af opnieuw op moesten bouwen. De schade was naar schatting € 31.1 miljoen. Voor het waterbedrijf in Florida waren de mogelijke gevolgen nog groter: de hackers verhoogden de hoeveelheid chemicaliën met meer dan 100 keer, wat desastreuze gevolgen kon hebben voor de gezondheid van de bevolking. De verhoging werd op tijd gezien door een medewerker van het drinkwaterbedrijf en weer teruggedraaid. De complexiteit van technische installaties neemt hand over hand toe. Niet alleen in fabrieken, maar denk ook aan Internet of Things (IoT). Dat sluit aan bij een steeds breder toepassingsgebied: denk bijvoorbeeld aan Smart City initiatieven die nu opgezet zijn en uitgerold worden. Maar hoe zorg je dan dat de security van productieomgevingen op orde is en blijft?   Toetsingskader Er zijn frameworks en toetsingskaders die zorgen dat je op het gebied van procesautomatisering je informatiebeveiliging op orde kan brengen. De IEC 62443 is daar een goed voorbeeld van. De IEC 62443 is een internationale reeks normen voor industriële communicatienetwerken. De norm is onderverdeeld in verschillende secties en beschrijft zowel technische als procesgerelateerde aspecten van industriële cybersecurity. Waar de ISO27001 een meer generieke aanpak voor informatiebeveiliging behelst, is de IEC 62443 specifiek voor IACS-toepassingen. Het mooie van deze aanpak is dat deze zich richt op twee groepen gebruikers: de eindgebruikers en de solution providers: de softwarebedrijven die leveren, de system integrators en vendors. Gelukkig gaat de IEC 62443 verder dan een boodschappenlijst met maatregelen: de ruggengraat is het Cyber Security Management System (CSMS), vergelijkbaar met het Information Security Management System (ISMS) wat in de ISO27001 is beschreven. Voor veel organisaties is de OT-security een gebied waar de technische security hoogtij viert en waar een goed en doordacht management framework nog wordt gemist. De IEC 62443 kan hierin veel structuur geven. Goed om te zien is dat ook in Nederland steeds meer organisaties de IEC 62443 omarmen. Ik kan het dan ook van harte aanbevelen om de IEC62443 in te zetten, te meten en verbeteren. Combineer dit met een uitstekende governance rondom de ISO27000 en NEN7510 want alleen zo kom je echt in control over de security van je procesautomatisering!   Auteur, Jorrit van de Walle | Audittrail   Over de auteur Jorrit van de Walle is oprichter van Audittrail, een audit- en adviesbureau op het gebied van cyber security, privacy en compliance. Jorrit heeft meer dan 20 jaar ervaring als security auditor en – manager.  

Inhoud De gevolgen van een datalek Het was niet te missen: het nieuws dat de GGD is getroffen door een grote datadiefstal. Enorm veel gegevens gestolen – naar verwachting van miljoenen Nederlanders. Inmiddels zijn we alweer een aantal grote datalekken verder, zoals je hebt kunnen lezen in de media. Maar wat zijn de achtergronden? Nog interessanter is de vraag hoe het zo ver heeft kunnen komen. Dat actie nodig is, is duidelijk: juist organisaties in het publieke domein zijn meer en meer doelwit van criminelen. Daarnaast stijgt in zowel het publieke als private domein het aantal hackaanvallen, ransomware infecties en het aantal datadiefstallen.   De stijging is zelfs zo groot dat de Autoriteit Persoonsgegevens onlangs de noodklok luidde. Slachtoffer Het is ook niet zo gek dat organisaties in het publieke domein slachtoffer worden; zij hebben veel persoonlijke en gevoelige data in huis. Vaak zoveel dat er eenvoudig een profiel te maken is van een persoon. En dan ligt identiteitsfraude en oplichting om de hoek. Zoals al gezegd: éen moment van onoplettendheid en je bankrekening is leeg.   Hackers worden steeds slimmer, handiger en harder. Door organisaties als lokale en centrale overheidsinstellingen, zorginstellingen, ziekenhuizen, woningcorporaties en onderwijsinstellingen als doelwit te gebruiken zijn er twee businessmodellen in één klap te verzilveren: Geld buit maken van de organisatie in de vorm van losgeld of via de zogenaamde CEO-fraude; én Geld buit maken van de klanten van deze organisaties met onder andere identiteitsfraude.   De druk ligt inmiddels niet alleen maar bij de IT-afdeling of de security officer. Deze druk gaat ook gevoeld worden door de directeuren, bestuurders en de raden van toezicht.   Risico’s verminderen Maar hoe maak je de kans op een hack, datadiefstal of ransomware nou kleiner: Zoals het AP al zegt: stel multi-factor authenticatie in. Gebruik zero-trust als uitgangspunt. Het klinkt negatief (vertrouw niemand en niets), maar kan echt het verschil maken. Maak collega's bewust van de risico's van phishing en social engineering; zorg dat de 'human firewall' aan gaat! Zorg voor een security architectuur. Daardoor blijf je je bewust van de sterke en zwakke punten in je beveiliging. Meet en wees alert. Ieder klein incident kan een signaal zijn van iets groots. Zorg dat je incident en crisis-proces goed is ingericht en oefen dit. Zorg dat back-ups gemaakt worden en dat deze niet gecorrumpeerd kunnen worden door ransomware. Anders kan je ze net zo goed niet maken. Omarm governance, in plaats van het zien als ‘papierschuiverij’. Als je geen sterke governance inricht, zijn checks and balances op volledigheid en veiligheid niet te controleren. Leg vast wat je doet, meet, rapporteer en verbeter. Plan, do, check en act. Het werkt. En als je het even niet meer weet: huur een expert in. Om je te helpen of je te toetsen. Beter dat dan al je klanten of patiënten met onoverzienbare schade op te zadelen..   Dit soort hacks mogen we nooit normaal gaan vinden! Actie is nodig.     Auteur, Jorrit van de Walle | Audittrail   Over de auteur Jorrit van de Walle is oprichter van Audittrail, een audit- en adviesbureau op het gebied van cyber security, privacy en compliance. Jorrit heeft meer dan 20 jaar ervaring als security auditor en – manager.

Inhoud Privacy is in aanloop van 25 mei 2018 door veel organisaties opgepakt als project waar de nieuwe wetgeving de trigger heeft gegeven om privacy in te gaan richten. Overal werden projectteams samengesteld en er werd gewerkt aan een opzet van privacy met een beleid, procedures, een verwerkingsregister en het organiseren van rechten voor betrokkenen. Vanuit dit projectteam is ook nagedacht over privacy verantwoordelijken en een al dan niet verplichte Functionaris gegevensbescherming (FG). Alle verplichte documenten zijn destijds opgeleverd en privacy is in opzet aanwezig in de organisatie. Het projectteam heeft decharge gekregen en de aangewezen Privacy Officer (PO) is zelf aan de slag gegaan. Inmiddels zijn we een paar jaar verder. De projectgroep was natuurlijk een veilige omgeving waar meerdere mensen bezig waren en het belang ervan ook hebben ingezien. Eenmaal uit de projectgroep en terug in het hart van de organisatie razen alle andere prioriteiten en continue veranderingen als een straaljager langs de PO heen. Privacy compliance is ineens één van de vele onderwerpen op de prioriteitenlijst en bovendien een onderwerp wat toch al geregeld was? Dus nu is een ander onderwerp aan de beurt, ook binnen de budgettering.   Situatie Helaas! Privacy gaat niet weg, plichten verminderen niet maar worden alleen maar groter, risico’s bij het niet aantonen van een bepaalde mate van control zijn nog steeds aanwezig. Documenten verouderen en Excel spreadsheets worden niet of nauwelijks bijgehouden of zijn veel te complex geworden. Verantwoordelijkheden liggen nog (steeds) niet in de organisatie maar bij enkele individuen in plaats van bij de proceseigenaren. De vragen die nu gesteld kunnen worden zijn: Waar en hoe dient privacy nu eigenlijk ondergebracht te worden? Hoe kan privacy onderdeel worden van het grotere geheel, het organisatie brede compliance vraagstuk? Hoe kan de afdeling control een grotere rol gaan spelen bij toetsing en implementatie? Steeds vaker zijn organisaties bezig met het zoeken naar softwareoplossingen die ervoor kunnen zorgen dat “het allemaal gemakkelijker” kan worden gemaakt of geautomatiseerd kan worden. Slim om dat te doen! Daar kan ik het niet oneens mee zijn. Alleen, is er ook een strategie geformuleerd die hieraan ten grondslag ligt? Heeft het management en de organisatie uitgesproken aan welke doelstellingen de keus voor een instrument moet gaan bijdragen? En is dit een korte of lange termijnstrategie?   Impact In deze bijzondere tijden is investeren en de juiste keuze maken niet eenvoudig. Nú investeren in een point solution, een goedkoop en klein instrument wat één specifiek vraagstuk, of erger nog, een deel daarvan voor nu even oplost, is dat wel of geen passende oplossing? Misschien wél voor nu, maar dit zal uiteindelijk een desinvestering blijken te zijn, áls deze niet volledig aansluit bij de toekomstvisie en compliance strategie van de organisatie. Alle kosten, duidelijk en verborgen, tijd, verspilling van draagvlak, energie, uren die erin gestoken worden om er later achter te komen (bij een basis audit of assessment) dat het instrument niet volledig voldoet aan de vereisten van informatievoorziening en de verschillende disciplines niet met elkaar verbindt of laat samenwerken. Een investering in een instrument dient altijd bij te dragen aan de duidelijke doelstellingen van de organisatie en dient ook een duurzaam karakter te hebben. Selecteer dus verstandig en laat je helpen bij het maken van de juiste keuze voor jouw organisatie. De afgelopen maanden hebben wij vele organisaties gesproken over de meest logische vervolgstappen om compliance, risicomanagement, informatiebeveiliging en privacy management beter in de organisatie te gaan beleggen. Veel organisaties zijn actief op zoek naar tooling op het gebied van P(I)MS Privacy (Informatie) Management Systeem en/of een ISMS, Information Security Management Systeem. Dit komt met name door nieuwe richtlijnen en eisen vanuit de overheid voor zorginstellingen, GGD en GGZ-organisaties, Lokale en regionale overheden, etc. Met de introductie van de Baseline Informatiebeveiliging Overheid (BIO) is ineens ook ISMS bezig met een hernieuwde opleving. Vanuit de IT-afdelingen worden initiatieven opgetuigd om dit vorm te gaan geven, projecten worden gestart en investeringen in software en/of dure consultants gedaan. Zelfs aanbestedingen worden uitgeschreven met alle kosten die daarbij komen kijken. De keuze waar je ongetwijfeld ook mee geconfronteerd gaat worden als organisatie: Investeren wij in diverse losse software-instrumenten voor deze vraagstukken of kiezen wij ervoor om gebruik te gaan maken van een multifunctioneel en integraal in te zetten platform? Wat is nu de juiste keus? Wat levert uiteindelijk de meeste waarde op of kost op lange termijn het minste geld en kan het meest bijdragen aan de organisatiedoelstellingen? Dé vraag voor 2021 is voor ons dan ook: “Zet de transitie naar integraal, gecontroleerd (GRC) compliance management door?”. Het magische woord in deze vraag is, wat ons betreft, integraal. De behoefte die uitgesproken wordt bij veel onderzoeken is dat zij de organisatie naar een hoger volwassenheidsniveau willen brengen, vooral als het gaat om risicomanagement en compliance. Hier hoort echter altijd een goede governance bij, ofwel, zonder processen en control ben je aan de leeuwen overgeleverd! De enige oplossing die wij kunnen verzinnen is er één die al vele jaren door de experts geuit wordt, niet eenvoudig, wel noodzakelijk.   “Door de verbinding te zoeken binnen de organisatie tussen processen, (mensen) rollen en verantwoordelijkheden, (systemen) IT-applicatielandschap en datamodellen, (compliance) wet- en regelgeving, normeringen, risico’s, beheersmaatregelen, de audit en control cycli, krijg je als organisatie écht grip op alle verplichtingen die jouw organisatie al heeft en die nog op jouw organisatie afkomen”.    Compliance Management Framework (CMF) Een manier om hiermee te starten is door gebruik te maken van een Compliance Management Framework (CMF) en de verbinding te gaan zoeken tussen de kernafdelingen die hier een belang bij hebben. Het CMF is een vertaling van 20 jaar praktijkervaring door diverse professionals die werken in de vakgebieden Informatiebeveiliging, Privacy, Risicomanagement, Legal en Governance. Het CMF zorgt ervoor dat je in control komt, bent en blijft over je compliance vraagstukken.   Webinar Van onbewust onbekwaam naar onbewust bekwaam Compliance Management De kernvraag voor iedere organisatie is: ga je als organisatie investeren in diverse losse software-instrumenten voor compliance vraagstukken of kies je ervoor om gebruik te gaan maken van een multifunctioneel en compleet platform? Wat is nu de juiste keus? Wat levert uiteindelijk de meeste waarde op of kost op lange termijn het minste geld? Klik hier voor meer informatie en aanmelding.   Wil je geïnspireerd worden, feedback geven, de dialoog aangaan? Neem dan contact op! Ook wij leren, zoals iedereen, iedere dag! Ralph Drijver | Telefoon: +31 6 13 84 77 44 | rdrijver@audittrail.nl | www.compliancemanagementframework.nl     Deze blogpost is geschreven door onze partner Audittrail. Wil je meer weten over het Compliance Management Framework? Bezoek dan deze pagina of download de factsheet. Of meld je aan voor het Webinar Compliance in control in de publieke sector.  

Inhoud Zuiderzeeland is een Waterschap in Lelystad. Zuiderzeeland bedient een gebied dat bestaat uit 8 gemeenten en 414.000 inwoners. Zuiderzeeland beheert 365 stuwen, 1200 kilometer aan watergangen en 255 kilometer aan dijken. Dit alles verspreid over een gebied van 250.000 hectare. In de polders die het waterschap beheert liggen zuiveringen, gemalen en dijken. Daarmee zorgt het waterschap voor schoon en voldoende (drink)water en zorgen ze dat alle inwoners in veiligheid kunnen leven, zowel in de steden als op het platteland.   Uitdaging Zuiderzeeland benaderde Audittrail vanuit de wens om effectief werk te maken van informatiebeveiliging. Het waterschap had al enige stappen ondernomen richting informatieveilig werken, bijvoorbeeld door een audit op de Baseline informatiebeveiliging Waterschappen(BIWA). Daarnaast had Zuiderzeeland al Mavim aangekocht en hierin de architectuur van applicaties en systemen en alle processen vastgelegd. De vraag vanuit de organisatie was om de informatie die reeds in Mavim was vastgelegd aan te vullen en uit te breiden met een stuk informatiebeveiliging (BIWA). Naast de operationele invoer wilde Zuiderzeeland ook het beheer makkelijker maken. Omdat er al veel gegevens in Mavim stonden, zochten ze een oplossing die daarop aansloot. Met de komst van de BIO werd besloten om daarop te sturen en de BIWA-audit mee te nemen als startpunt voor een BIWA-BIO omschakeling. Het management was ook op zoek naar een oplossing die meer grip op de status van informatiebeveiliging bood. Daarbij was er de wens voor overzichtelijke rapportages. Deze konden gebruikt worden als verantwoording naar het bestuur maar ook naar de procesverantwoordelijken. Zo had Zuiderzeeland de behoefte om eenvoudig de huidige status van “hun” beheersmaatregelen in te zien.   Oplossing We zijn begonnen met een inventarisatie van wat reeds in Mavim was opgenomen. Deze informatie is gekoppeld in het door Audittrail opgeleverde Compliance Management Framework (CMF), dat in de reeds bestaande Mavim-omgeving is geïmplementeerd. Het framework is zodanig aangepast en uitgebreid dat het past bij de wensen van Zuiderzeeland. Vervolgens is er begonnen met de daadwerkelijke invulling van het framework met bijvoorbeeld de uitslag van de BIWA-audit. Door deze gegevens te verwerken in het CMF werden de aandachtspunten duidelijk. Om de rapportagemogelijkheden van het framework uit te breiden zijn er dashboards toegevoegd met het gebruik van Microsoft Power BI Hierdoor zijn er meer filter mogelijkheden en kunnen de rapporten op verschillende plekken in het framework worden geïntegreerd.   “We willen ons Compliance Management Framework zelf in de hand houden, maar wel professionele begeleiding inschakelen. Audittrail laat ons zelf aan de knoppen zitten en ondersteunt waar nodig met bijsturing. Zo blijven we samen in control.” Foeke Sijtsma | Waterschap Zuiderzeeland   Resultaten Zuiderzeeland is erg tevreden met het resultaat tot nu toe. Het CMF biedt de gewenste grip op informatiebeveiligingscompliance. Inmiddels zijn we een jaar verder en gaat het traject nog een stuk verder. De wens vanuit de CISO is dat hij overzicht en inzicht heeft zonder zelf aan de knoppen te zitten. Hiervoor worden er momenteel mooie Power BI dashboards gemaakt voor de verschillende doelgroepen. Overall overzicht voor het bestuur, voor de proceseigenaar/stakeholder zijn/haar eigen actiepunten en daarbij de voortgang en voor de CISO een combinatie van beide. De komende tijd gaan Audittrail en Zuiderzeeland verder met de invulling en landing van het framework binnen de organisatie. Eind vorig jaar is Zuiderzeeland na een Quickscan op het gebied van Privacy ook gestart met het privacy onderdeel in het CMF. De komende tijd worden de dashboards aangevuld met informatie over privacy. Hierdoor komen Informatiebeveiliging en privacy weer mooi samen en krijgt het bestuur een snel overzicht hoe ze er voor staan.     Bron: Audittrail

Inhoud Organisaties zijn de laatste jaren en masse bezig geweest met het aanpakken van privacy en informatiebeveiliging. Maar waar het verbeteren van deze thema’s tijdens een project vaak wel lukt, is het borgen van de aanpassingen in de organisatie lastiger. Hoe zorg je ervoor dat ook na het traject privacy en informatiebeveiliging de aandacht krijgen die ze verdienen? Om organisaties daarbij te helpen kwam Audittrail met het Compliance Management Framework en wij spraken daarover met Business Developer Ralph Drijver. Het antwoord op de vraag ‘hoe je moet omgaan met thema’s als privacy en informatiebeveiliging’ is een lastige voor organisaties, ziet Ralph in de praktijk: “We horen vaak dat er van alles geprobeerd is maar dat thema’s niet lijken te landen bij medewerkers. En dat is wel te verklaren. Organisaties hebben privacy en informatiebeveiliging opgepakt als project met een beperkte groep mensen. Er is veel tijd en moeite gedaan om de basis op orde te krijgen, en daarna is overgegaan tot de orde van de dag. Een projectmatige aanpak leidt echter tot beperkte zichtbaarheid en betrokkenheid, en draagt niet bij aan een organisatie die volwassener of professioneler te werk gaat. De grote uitdaging is dan ook; hoe kun je de transformatie maken van projectmatig naar programmatisch werken en hiermee het eigenaarschap en verantwoordelijkheid van de thema’s beleggen bij die mensen die deze ook horen te dragen.”   Grote administratie Een bijkomstigheid bij de wens om te voldoen aan privacywetten en informatiebeveiligingskaders is een grotere administratie. Ralph: “In bijvoorbeeld een verwerkingsregister ben je verplicht vast te leggen wat je doet met de data binnen jouw processen, wie iets mag doen met welke gegevens, welke applicatie toegang heeft tot welke data, etc. Feitelijk ieder onderdeel in de organisatie wordt geraakt en heeft verantwoordelijkheden. Hoe borg je dit in mensen, rollen, processen of systemen zonder de controle te verliezen? In de praktijk betekent dit dat het bijhouden en actueel houden van informatie tijd kost op verschillende niveaus en binnen verschillende bedrijfsonderdelen, het voorbereiden van een audit heel veel tijd kost wanneer de basisinformatie niet in orde is en de audit zelf ook veel tijd in beslag neemt omdat er teveel onduidelijkheden of omdat informatie niet direct voorhanden is. Dat zijn uiteindelijk allemaal verborgen kosten.”   Koers en ambitie Bij het nemen van de volgende stap rond het onder controle krijgen van compliance én dit naar een volgend niveau te tillen, is allereerst een goede koers en ambitie essentieel. Ralph: “Het begint allemaal bij het management. Zodra vanaf bovenaf een koers wordt bepaald én een ambitie wordt geformuleerd voor de komende drie tot vijf jaar, kun je compliance management verder inrichten en daar de juiste tools voor kiezen.”   Handvatten aanreiken “Daarnaast is het belangrijk dat organisaties de handvatten aangereikt krijgen om met de geleerde lessen uit een project aan de slag te gaan. Nu wordt vaak nog bij het einde van een project een USB-stick, OneDrive-folder of ordners met papier achtergelaten waarmee de klant verder kan gaan. Alleen gebeurt dit vaak niet. Dat kun je ook wel kapitaalvernietiging noemen. Consultancybedrijven zullen zich daarom moeten onderscheiden door het toepassen van duurzame en toekomstbestendige levering bij klanten.”   Compliance Management Framework Om organisaties wel een handvat te geven, levert Audittrail het Compliance Management Framework (CMF). “Dit is een best practice instrument om alle losse en relevante informatie omtrent informatiebeveiliging en privacy op een pragmatische en gestructureerde wijze vast te leggen in een database. Zo worden resultaten van het ‘normale’ inhoudelijke advieswerk geborgd in software voor de organisatie. Daardoor wordt onder andere consistentie afgedwongen en eenmalig gebruikte informatie vastgelegd waardoor het binnen de gehele GRC-organisatie te gebruiken is. De eerder beschreven onduidelijkheden en verlies van tijd worden hiermee voorkomen en de organisatie verlaagt de druk op de vele control- en auditmomenten.”   Visie en besluit bij elkaar brengen Omdat binnen het CMF alle informatieonderdelen met elkaar worden verbonden en geanalyseerd, hebben organisaties meer transparantie, inzicht en kansen voor impact en verandermanagement. “Zo kunnen bijvoorbeeld de juiste keuzes op het goede moment genomen worden en worden besluiten beter beargumenteerd. Op die manier is het CMF een instrument dat organisaties in staat stelt visie en besluit beter bij elkaar te brengen. Daarbij is informatie binnen het systeem real-time en direct beschikbaar en te bestuderen vanuit ieder gewenst perspectief of vanuit iedere rol met zijn of haar belangen. Zo kan de organisatie zich richten op continue verbetering.”   Snel inzicht bieden Volgens Ralph kunnen organisaties met het CMF hun PDCA-cyclus ondersteunen. “Neem bijvoorbeeld de registratie en vastlegging van incidenten. Hiervoor heb je beleid nodig (P), de incidenten vinden plaats, worden gemeld, vastgelegd en er kan op geanticipeerd worden door het verantwoordelijke team (D). De uitkomsten bepalen of er aanpassingen gedaan dienen te worden binnen applicaties, autorisaties, verwerkingsregister of een ander onderdeel (C), en daar kan vervolgens naar gehandeld worden (A). Hiervoor is impactmanagement en informatieanalyse nodig, anders kun je niet anticiperen. En dat is precies de kern van het CMF, dat snel inzicht biedt waardoor duidelijke keuzes gemaakt kunnen worden.”   Compliance écht beleggen Het CMF helpt middels de toename aan transparantie eigenaarschap in de lijnorganisatie te beleggen, gaat Ralph verder. “Proceseigenaren en uitvoerende onderdelen van een organisatie willen bezig zijn met klanten. Logisch, want klanten zijn leuk en daarom heeft men de rol gekozen en het bedrijf om te mogen werken. Alles wat erbij komt – zoals privacy en informatiebeveiliging – is afleiding. Dat leidt tot weerstand bij medewerkers. Wanneer eenvoudige informatie duidelijk en makkelijk vindbaar is voor deze personen, zie je het begrip en transparantie toenemen. Mensen zien het dan niet langer als het ‘lastige’ extraatje van die compliance-mensen, maar als iets dat groter en belangrijker is. En dat helpt pas echt om compliance in de organisatie te beleggen.”   Blinde vlekken “De functionaliteiten van het CMF zijn ongelimiteerd als het gaat om rapporten,” sluit Ralph af. “De standaarden zijn ruim gevuld met veel soorten en typen rapportages, templates die minimaal weergeven wát je moet hebben vastgelegd vanuit de wetgeving of norm waar je als organisatie moet of wilt voldoen. De rapportages worden verder gevisualiseerd middels Power-BI. Als iets niet is ingevuld, dan is de informatie niet beschikbaar en moet het worden behandeld. Zo zie je direct wat er nog moet gebeuren en welke informatie mist. Het systeem maakt ‘blinde vlekken’ meedogenloos duidelijk en visueel. Als je compliant wilt zijn is het dus noodzakelijk om deze vlekken aan te vullen of op te nemen in het risicomanagementplan als geaccepteerd risico.”   Audittrail is een audit- en adviesorganisatie op het gebied van security, privacy, GRC en kwaliteit en partner van Mavim. Met zijn team van bevlogen vakspecialisten voeren zij adviesopdrachten, audits uit bij woningcorporaties, zorginstellingen, gemeenten en overheden. Ook verzorgt Audittrail al jaren diverse privacy en securitytrainingen op maat. Wil je contact met Audittrail? Neem dan contact op via koffie@audittrail.nl of 071 – 747 17 17.   Interview is afgenomen door Johan van den Beld van vdBeld Communicatie.   Bron: Audittrail  

Inhoud Meten is weten. Het is een belangrijk onderdeel van iedere verbetercyclus. De Check in Plan Do Check Act, de M uit SMART. Het komt om de hoek kijken bij het opstellen van een stuk bij het jaarverslag, het aanvragen van een budget, het opstellen van een plan van aanpak en de evaluatie van een project. Maar hoe weet je wat je moet meten als het op zaken als privacy of informatiebeveiliging aankomt? In deze blog gaat Audittrail in op het meten van compliance en hoe zij tot deze aanpak van het meten in volwassenheidsniveaus zijn gekomen.   Wat is compliance? Compliance betekent naleving. Dat kan het naleven van wetten en regelgeving zijn, van gedragscodes, van standaarden zoals de ISO, integriteitsnormen of van het intern gekozen beleid. Het meten van compliance is daardoor geen eenvoudige taak. Ga je overtredingen tellen, of hoe vaak het juist goed gaat? Of het aantal maatregelen dat is geïmplementeerd? En spreek je specifieke KPI’s af? Hoe pak je dat aan en hoe weet je wat je niet weet?   Hoe compliant moeten we zijn? Dat is voor juristen een lastige vraag. De wet is de wet en die horen we te kennen en te volgen. Het is alsof je vraagt hoe vaak je door rood mag rijden. Echt een goed idee is het nooit, maar we kunnen ook niet zeggen dat je iedere keer beboet zult worden of een ongeluk zult krijgen. In beveiligingsstandaarden heb je meer ruimte om een eigen keuze te maken op basis van jouw risicobereidheid. Zolang je die afwegingen (in redelijkheid) maakt, ben je dus compliant aan de standaard. Hoewel de wet- en regelgeving en standaarden veelal het nodige papierwerk vereisen, zit naleving vooral in de uitvoering. Een meting op de naleving in processen zal per definitie een momentopname zijn en zoals zo vaak geldt bieden resultaten uit het verleden geen garantie voor de toekomst.   KPI’s Het tellen van het aantal datalekken kan een voor de hand liggende KPI zijn; datalekken zijn concrete gevallen van privacyschendingen en die wil je terugdringen, nietwaar? Een bedrijf zonder datalekken is dus een veilig bedrijf als het op privacy aankomt. Maar wat als datalekken wel voorkomen, maar niet gemeld worden, of niet eens herkend of ontdekt worden? Dan zul je aan bewustwording moeten werken en dan is het een goed teken als er juist een stijging in het aantal (gemelde!) datalekken is. Het vaststellen van KPI’s moet passen bij de stand van zaken en de ambities van de organisatie. Een assessment kan helpen om een logische verzameling KPI’s vast te stellen.   Assessment op volwassenheidsniveaus Door te meten op volwassenheidsniveaus kijken we naar de mate waarin regels in de organisatie, mensen en processen zijn ingebed. Van ad hoc naleving, tot volledig beschreven, geïmplementeerde, bekende en gecontroleerde processen. Hiermee heb je geen 100% garantie op compliance, net zomin als ad hoc opvolging een garantie voor overtredingen is, maar het is een goede indicatie van hoe makkelijk en vanzelfsprekend het naleven voor de organisatie is geworden. De kans op een overtreding als gevolg van onwetendheid, een gebrek aan afspraken of het moeten terugvallen op houtje-touwtje oplossingen is vele malen kleiner binnen een volwassen organisatie. Wat overblijft zijn de overtredingen die veroorzaakt worden door een bewuste overtreding van de regels, uit kwade opzet of een zorgvuldige risico-afweging.   Consequent meten Uiteindelijk is er niet één gouden standaard voor het meten van compliance. Het belangrijkste is dat je een methode kiest die aansluit bij hetgeen de organisatie in beeld wil krijgen en dat je deze consequent toepast. Door de meting met regelmaat, volgens dezelfde aanpak, te herhalen, kun je heel goed de verandering over tijd meten. Gaan we vooruit, staan we stil of lopen we op sommige punten misschien zelfs terug? Dat is waardevolle informatie als je wilt meten welke effecten de inspanningen van de organisatie teweegbrengen. Door alle voorwaarden uit de Algemene verordening gegevensbescherming (AVG) en de informatiebeveiligingsstandaard ISO 27001/2 (en ook de BIC, BIO, etc.) op een rij te zetten en in te delen in volwassenheidsniveaus die volgens onze best practice aansluiten bij de praktijk, krijg je een goed overzicht van waar de organisatie staat en wat er al bereikt is. Op basis daarvan is in één oogopslag te zien welke onderwerpen meer aandacht verdienen en waar juist de processen goed ingebed zijn. Zo stel je gemakkelijk nieuwe ambities en verbeterplannen op, leg je verantwoording af en kun je met recht zeggen dat je weet hoe het met de compliance in de organisatie gesteld is.   Bron: Audittrail   Audittrail heeft in Mavim het Compliance Management Framework (CMF) gebouwd. Hiermee kunnen organisaties hun privacy en informatiebeveiliging compliance management borgen. Lees hier meer over het Compliance Management Framework.      

Inhoud GDPR en AVG: onderwerpen waar begin dit jaar ongelofelijk veel over geschreven en gezegd is. Elke organisatie kreeg tenslotte te maken met wetgeving die vroeg om een nauwkeurig assessment en een herziening van de huidige organisatie, haar manier van werken, de manier waarop met data wordt omgegaan, et cetera. Geen gemakkelijke, wel een belangrijke, maar vooral heel omvangrijke klus: discussies, oplossingen, webinars en blogs waren dan ook rijkelijk aanwezig.  Het was ons al eerder opgevallen dat weinig van deze communicatie end-to-end was, maar altijd vanuit een bepaalde hoek werd aangevlogen. Denk bijvoorbeeld aan legal, of juist IT-gericht.    Wacht even – misschien goed om eerst toe te lichten wie ik bedoel met ‘ons’ Ons zijn wij: 5.25. Bestaande uit Audittrail, Mavim en Motion10. Audittrail helpt organisaties om de impact van wet- en regelgeving op hun organisaties te vertalen, veelal gericht op thema’s als privacy en informatiebeveiliging. Impact inzichtelijk maken is waar Mavim goed in is, en dat is waarom Audittrail gebruik maakt van het Mavim platform in hun trajecten. Zo laten ze aan hun klanten zien wat de impact is, wat er gedaan moet worden en hoe dit ook in de toekomst (als Audittrail weer weg is – dat willen ze namelijk zelf ook!) blijft werken.  Motion10 is een Microsoft Office 365 partner en gespecialiseerd in het inrichten van de digitale werkplek. Ook dít is onderdeel van AVG/GDPR: in deze omgeving wordt tenslotte heel veel informatie verwerkt, gebruikt en opgeslagen. Op basis van de informatie en inzichten van Audittrail, vastgelegd in Mavim, helpen zij de organisatie de vertaling naar de techniek te maken.  Door in Mavim ook het technische perspectief vast te leggen, heeft de klant een 360° kijk op hun GDPR/AVG compliance: van wet- en regelgeving tot organisatie, tot aan techniek. Hiermee is compliance iets wat daadwerkelijk geborgd is in de organisatie en haar operating model, welke veranderingen er ook gaan komen.    End-to-end en geen quick-fix Goed – dat zijn wij. En gezamenlijk viel het ons dus op dat weinig communicatie over een end-to-end oplossing ging. Met end-to-end bedoel ik van juist dat perspectief van organisatie naar techniek: al die verschillende componenten worden tenslotte geraakt door GDPR/AVG. Ook waren de gepresenteerde oplossingen vaak een ‘quick-fix’: hoe zorg je er als organisatie voor dat je NU een verwerkingsregister en een proces voor het melden van datalekken kunt maken? Of het was gericht op de dienst van een consultancy partij, waardoor het niet daadwerkelijk in de organisatie wordt geborgd.  Vandaar dat we zijn gaan samenwerken, onder de naam 5.25: de datum dat de GDPR/AVG van kracht kwam in heel Europa. En waarom dan op de Amerikaanse manier genoteerd? Omdat Microsoft erg gecharmeerd was van onze oplossing. Als software bedrijf hebben zij al snel erkend dat de digitale werkplek in Office 365 weliswaar een evident onderdeel van de GDPR/AVG is, maar dat het uiteindelijk gaat om de organisatie, haar processen en haar mensen. Daarom vroeg Microsoft ons ook met hen samen te werken én zijn we in april uitgenodigd om naar het hoofdkantoor van Microsoft (in Redmond, USA) te komen. Daar hebben we de oplossing gepresenteerd. Uiteindelijk zijn we hiermee met zijn drieën runner-up geworden als Partner of the Year voor Security & Compliance geworden!    Het is nu augustus, bijna drie maanden later Klopt! Maar GDPR/AVG is iets wat niet meer weg gaat. Sterker nog, wet- en regelgeving rondom data en privacy zal alleen maar toenemen met de duidelijke trends rondom AI, Machine Learning en IoT. 5.25 gaat voorlopig dus ook niet weg: we blijven de partij waarmee je naar data en privacy kunt kijken vanuit zowel een legal-, organisatorisch- als technisch perspectief. Voor nu, en voor de toekomst, zodat je ongehinderd gebruik kunt maken van de talloze mogelijkheden die technologie je biedt. Meer weten? Houd 5.25 in de gaten. Dit kan via de website.  Geschreven door: Suzanne Appelo