Tegenwoordig heeft elk bedrijf te maken met complexe beveiligingsvraagstukken. Afhankelijk van de bedrijfsgrootte, -sector, prioriteiten, financiën en cultuur is er in meer of mindere mate een Information Security Officer (ISO) nodig. De Chief Information Security Officer (CISO) is diegene die vanuit de directie wordt gesteund in het regelen van goede informatiebeveiliging. De ISO kan een functie of rol zijn, maar het is een randvoorwaarde dat die persoon voldoende tijd, geld en mandaat krijgt, om het werk effectief en efficiënt uit te voeren. En hierdoor in staat is om weloverwogen en bindende adviezen te geven.
Met de komst van nieuwe wet & regelgeving en de impact van digitale risico’s, zoals ransomware en datalekken, wordt het steeds belangrijker dat een organisatie er voldoende aan doet om systemen, data- en persoonsgegevens te beschermen. Misschien is je organisatie aangewezen als vitaal-belangrijk en zijn er (onlangs) hogere eisen op de dienstverlening van toepassing, bijvoorbeeld door de aankomende NIS2- en CER-richtlijnen. Eisen waar je nu nog geen antwoord op hebt, of waarvan je de impact nog niet goed kan overzien.
Daarnaast is de vraag naar securityspecialisten op dit moment hoog, maar het aanbod van ervaren mensen schaars. Heb je dus wel de mensen in dienst die bij kunnen dragen aan goede informatiebeveiliging? Wie kan jullie organisatie helpen met het vertalen van kaders naar beleid, signaleren van risico’s het opstellen van concrete behandelplannen? Kan je die resources snel op- of afschalen?
Wat bieden wij?
Is de ISO-rol binnen je organisatie reeds belegd of moet deze op korte termijn worden opgezet, maar mist de organisatie capaciteit, kennis, kunde en/of tijd, dan kunnen wij ondersteunen met onze Virtuele Information Security Officer (VISO).
De VISO is een nieuwe oplossing voor een oud probleem. Tegen een deel van de kosten om iemand in een moeilijke arbeidsmarkt te moeten vinden, die persoon tegen hoge kosten in dienst te nemen en aan boord te houden, kan je als organisatie, wanneer je zelf wilt een professional afroepen. De VISO kan volledig focussen op het behalen van de door de organisatie gestelde doelen. Je hoeft hierbij niet te investeren in training, ontwikkeling en aanwezigheid bij interne bedrijfsactiviteiten.
Onze VISO’s kunnen op strategisch niveau de CISO ondersteunen in het opstellen en vertalen van beleid naar goede keuzes. Omdat de ervaren VISO’s werkzaam zijn bij meerdere bedrijven, krijgt je als organisatie een onafhankelijk en onbevooroordeeld advies, waarbij continue verbetering plaatsvindt.
De VISO kan ook op tactisch/operationeel-niveau de ISO-rol vervullen, waarbij het beleid wordt vertaald naar concrete maatregelen. En vervolgens de operationele teams worden begeleid met de implementatie van die maatregelen.
Als klant krijgt je vanuit onze organisatie een vast aanspreekpunt en de dienst is op afroep af te nemen. Achter de persoon die je inhuurt, staat ons gehele security-team ter beschikking. Ons team die bestaat uit ervaren professionals en allemaal specialist binnen meerdere security-domeinen. Hierdoor bent je als organisatie verzekerd, dat je op alle vlakken kwaliteit binnenhaalt en dat je wordt ontzorgd. Doordat onze VISO veel samenwerken bij andere bedrijven worden best-practices ingezet, waardoor het gehele ISMS tot een hoger niveau wordt getild.
Welke vormen van inzetbaarheid zijn er?
- De Virtuele ISO-dienst kan je op verschillende manieren afnemen:
Een time-boxed en doelgebonden opdracht. - Variabel inzetbare uren, via onze SECurity-as-a-Service contractvorm. Op
basis van noodzaak. Soms wat meer, soms wat minder. - Naar aanleiding van onze assessment diensten, als vervolgtraject om de gaps te adresseren.
- Een structurele ondersteuning, voor een beperkt aantal uren per week.
Een belangrijk verschil met onze ISO-detacheringsdienst is dat de VISO
doelgebonden wordt ingezet en aansturing wordt geregeld vanuit ons eigen bedrijf. De VISO komt
binnen een korte periode, actuele problemen wegnemen. De ISO-consultant werkt onder de vlag van
jouw organisatie en kan helpen met de borging op midden-lange termijn.
Werkzaamheden waarop de VISO inzetbaar is:
- Het vertalen van een passend beveiligingsniveau bij de missie, visie en doelen van de organisatie.
- Het opzetten van risicomanagement en beheer van een risico-register.
- Het opzetten en/of beheren van een Informatie Security Management Systeem (ISMS).
- Het vertalen van richtlijnen, open standaarden en raamwerken, zoals de ISO27001:2022,
ISO27017:2021 en aankomende NIS2. - Het (door)ontwikkelen van informatiebeveiligingsbeleid, interne standaarden en procedures.
- Het uitvoeren van een Business Impact Analyses (BIA).
- Het uitvoeren van een maatregelen gap-analyse.
- Het vertalen van beleid naar concrete maatregelen.
- Het verhogen van security kennis en awareness.
- Het toetsen en begeleiden van architectuur ontwerpen.
- Het toetsen en/of opstellen van risico-behandelplannen.
- Het begeleiden van audits en het aanpakken van eventuele afwijkingen.
- Het begeleiden bij een ISO27001:2022 certificering.
- Fungeren als aanspreekpunt voor de organisatie omtrent informatiebeveiligingsvraagstukken.
- Fungeren als aanspreekpunt voor Interne Auditors, Toezichthouder en Functionaris van de Gegevensbescherming.
Er kan een traject worden opgezet, maar er kunnen op basis van vraag & aanbod ook specifieke security
domeinen worden aangepakt. Heeft jullie organisatie een specifieke behoefte, dan staan wij natuurlijk
open voor maatwerk.
Wil je meer weten wat we voor jouw digitale veiligheid kunnen betekenen? Neem dan contact met ons op.
