IT Security Kompas: Handvatten en tools om het securityniveau te verhogen.

Niveaus

Niveaus

IT Security Kompas

De vijf security niveaus

De noodzaak en het niveau waarop organisaties hun IT-security inrichten, verschilt per organisatie. Uiteraard zijn er ook overeenkomsten. Bij IT Security Kompas maken we een onderverdeling in 5 IT-security niveaus voor organisaties. Deze 5 niveaus lopen uiteen: van een niveau zonder specifieke security maatregelen tot een niveau waar de organisatie zich volledig bewust is van de security risico’s. Welk niveau bij jouw bedrijf past is afhankelijk van de privacygevoeligheid, de noodzakelijke beschikbaarheid, de vertrouwelijkheid van gegevens en de mate waarin IT binnen de organisatie verweven is. Ook de eventuele maatschappelijke missie van de organisatie speelt soms een belangrijke rol. Tenslotte focussen we ons op de motivatie van cybercriminelen: geld, wraak, politieke of religieuze redenen en fun (in mindere mate).

5 Profielen

1
1. Initieel
Organisaties met een initieel niveau hebben geen of heel weinig aandacht voor IT-security. IT als geheel wordt ad hoc en soms chaotisch opgepakt. De organisatie heeft niet de kennis en mogelijkheden om IT structureel aan te pakken, laat staan IT-security. IT-security is volledig afhankelijk van de maatregelen die de leverancier of IT-partner standaard meelevert.
Lees meer
2
2. Basis
Organisaties met het profiel ‘Basis’ hebben geen vastgesteld beleid op het gebied van informatiebeveiliging en IT-security. De organisatie is minimaal betrokken bij de veiligheid en de security-aanpak is grotendeels afhankelijk van de prioriteiten van de IT-afdeling. Binnen de infrastructuur is beperkte aandacht besteed aan IT-security en er is te weinig zichtbaarheid en bewustzijn om hier proactief aan te kunnen werken.
Lees meer
3
3. Beheerd
Bij organisaties met het profiel ‘Beheerd’ is er in samenspraak met het hoger management en het IT-management een korte-termijnbeleid voor informatiebeveiliging en IT-security. De IT-afdeling is zich bewust van de risico’s en communiceert hierover met de directie en medewerkers van de organisatie. IT-security wordt actief opgepakt en wordt meegenomen in projecten en beheer.
Lees meer
4
4. Proactief
Bij organisaties met een proactief niveau zijn de directie, het hoger management en de IT-afdeling zich sterk bewust van de bedreigingen binnen het IT-landschap. De organisatie heeft een duidelijk beleid voor de korte en lange termijn opgesteld. Voor de komende 2 jaar is er minimaal een roadmap beschikbaar. De gestructureerde aanpak van het IT-beheer is reproduceerbaar en schaalbaar.
Lees meer
5
5. Adaptief
Organisaties met het profiel ‘Adaptief’ zijn zich volledig bewust van de bedreigingen en risico’s voor de informatie en IT binnen de organisatie. Ze hebben een duidelijk langetermijnbeleid en de informatieveiligheid speelt bij alle bedrijfsprocessen een cruciale rol. Zo staat er een duidelijk bedrijfscontinuïteitsplan op papier. Dit plan bevat informatie over de belangrijke bedrijfsprocessen, de infrastructuur en de data.
Lees meer