Een veilige informatievoorziening in de hybrid cloud

25 North maakt veiligheidsrisico’s concreet en beheersbaar

Bij 25 North staan we voor een integrale benadering van security- en riskmanagement. Databeveiliging is meer dan een technisch vraagstuk. Om te voorkomen dat bedrijfs-kritische gegevens op straat belanden, kijken we naar alle aspecten die van invloed zijn op een veilige informatievoorziening: mens, proces en techniek.

Mens

De meeste datalekken worden nog altijd veroorzaakt door menselijke fouten.  

Medewerkers zijn zich vaak niet bewust van de risico’s die het online werken met zich meebrengt bv. een open WIFI-verbinding, het downloaden van software en het verlenen van toestemmingen aan externe partijen.Daarom is het belangrijk dat ze het belang van veilig gedrag inzien, en weten wat de organisatie van hen verwacht.

Proces

Inefficiënte processen zijn niet alleen tijdrovend en duur, maar ook foutgevoelig.

Door de processen te optimaliseren en ervoor te zorgen dat gebruikers alleen toegang hebben tot de systemen en de gegevens die ze daadwerkelijk nodig hebben om hun werk te doen, neemt de kans op datalekken af.  En als er al iets misgaat, kun je gericht ingrijpen om de schade zoveel mogelijk te beperken.

Techniek

Er zijn allerlei technische maatregelen om je omgeving veilig te houden: het installeren van firewalls, virusscanners en patches, het maken van backups, het inrichten van een goede monitoringtool etc.

Is je organisatie (deels) over op de cloud? Ga er dan niet te snel vanuit dat de provider het allemaal wel regelt. Dat is eigenlijk nooit het geval. Een groot deel van de werkzaamheden zul je als organisatie zelf moeten blijven doen.

Elke organisatie krijgt vroeg of laat te maken met phishing, ransomware, DDOS aanvallen of andere vormen van online criminaliteit. Wij zien het beveiligen van de informatievoorziening dan ook als een doorlopend proces van het inventariseren, monitoren, evalueren en bijsturen van risico’s en maatregelen. Het inrichten van een Governance, Risk & Compliance (GRC) tool is dé manier om grip te houden op alle afhankelijkheden in je risico’s, en veiligheidseisen en maatregelen. Als partner van Eramba kunnen we een handige GRC omgeving voor je inrichten zodat iedereen in de organisatie een goed beeld heeft van de laatste stand van zaken.  

Waarom 25 North?

Met 25 North kies je voor een persoonlijke aanpak en tastbare resultaten. Wij zijn 100% thuis in de laatste ontwikkelingen op het gebied van informatiebeveiliging. Vanuit onze jarenlange ervaring in verschillende omgevingen, leggen we snel de vinger op de zere plek. Samen met de opdrachtgever brengen we de risico’s en mogelijke maatregelen in kaart. We helpen organisaties hierin de goede keuzes te maken, en zorgen ervoor dat informatiebeveiliging gaat leven bij medewerkers en bestuurders. Onze opdracht is pas geslaagd als de veiligheid van de informatievoorziening ook op langere termijn in de organisatie geborgd is.

Altijd maatwerk

Elke omgeving is anders. Daarom stemmen we de beveiligingsmaatregelen helemaal af op de specifieke behoeftes en risico’s van de organisatie. Daarbij zoeken we altijd naar een goede balans tussen veiligheid en praktische haalbaarheid. Voor elke organisatie implementeren we een passende oplossing die voldoet aan alle wet- en regelgeving en bijdraagt aan efficiënte bedrijfsprocessen.

Op weg naar een veilige informatievoorziening

25 North heeft een gestructureerde aanpak ontwikkeld om organisaties te helpen meer grip te krijgen op hun informatiebeveiliging. Het globale proces ziet er als volgt uit:

Stap 0: De scope van de opdracht bepalen

Voordat we de diepte ingaan, willen we graag duidelijk hebben wat de achtergrond van de opdracht is, welke stakeholders erbij betrokken zijn en wat de gewenste uitkomst is. Is het de ambitie om een bepaald certificaat te halen? Als we weten wat precies de bedoeling is, dan houden we daar rekening mee.

Stap 1: Een risico-analyse uitvoeren

In deze stap brengen we de huidige situatie in kaart. Waar loopt je bedrijf tegenaan en welke maatregelen zijn er genomen om de risico’s te beperken? Voldoet de organisatie al aan de actuele wet- en regelgeving en/of aanvullende normen (bv. ISO9001, NEN7510 of SOC2)?

Stap 2: De ambitie vastleggen

Hier staan we stil bij de gewenste situatie. De cloud brengt allerlei risico’s met zich mee, en het is vrijwel onmogelijk om alles af te dekken. Hoeveel risico ben je als organisatie bereid te nemen en tegen welke prijs? Dat is een afweging die vaak lastig te maken is.  Vaak helpt het om concrete doelen vast te stellen: welke eisen worden er gesteld aan de beschikbaarheid, integriteit, vertrouwelijkheid en privacy van gegevens?

Stap 3: Identificeren en uitrollen verbetermaatregelen

Als we weten waar je staat en waar je naartoe wilt, onderzoeken we samen mogelijke oplossingen en scenario’s. Op basis daarvan bepalen we welke organisatorische en technische maatregelen nodig zijn om de gewenste doelen te halen, datalekken te voorkomen en de impact van eventuele incidenten te beperken. Natuurlijk ondersteunen we ook bij het implementeren van de deze maatregelen.

Stap 4: Risico’s en maatregelen meten, evalueren en bijstellen

Om de beveiliging op orde te houden, helpen we organisaties met het inrichten van een jaarlijks audit proces. Verder kunnen we helpen met het inrichten van een Governance, Risk and Compliance (GRC) systeem of de rol van CISO op ons nemen. In het laatste geval, zorgt 25 North ervoor dat de klant goed voorbereid is op de jaarlijkse externe audit zodat er geen verassingen uit komen.

Over 25 North

De beste garantie op digitale Veiligheid, Privacy en Compliancy

25 North is in 2018 opgericht door Jeroen Aijtink. Met zijn jarenlange ervaring als Chief Security Information Officer, is hij helemaal thuis in de wereld van informatievoorziening en veiligheid. Op basis daarvan heeft hij een unieke werkwijze ontwikkeld waarmee we al veel organisaties hebben geholpen. Dat doen we niet alleen, maar samen met onze opdrachtgevers en partners.

Informatiebeveiliging doe je samen!

Veiligheid, privacy en compliance zijn niet alleen taken van de IT afdeling, juristen en het management. Alle medewerkers in een organisatie zijn ervoor verantwoordelijk, te beginnen bij de eindgebruikers en de IT beheerders. Zij weten het beste hoe de processen en systemen in elkaar zitten. Hoe ze veilig en efficiënt hun werk kunnen doen. Bij North 25 nemen we iedereen mee in onze aanpak. Daarnaast hebben we een hecht netwerk van inhoudelijke specialisten waar we regelmatig een beroep op doen. Samen bereiken we het beste resultaat voor uw organisatie.  

Onze kernwaarden:

  • No bullshit
    Wij houden van heldere afspraken, korte lijnen en directe communicatie. We houden ons aan onze afspraken, en dat verwachten we ook van anderen.

  • Onafhankelijk
    Wij zijn volledig objectief in onze adviezen en doen wat het beste is voor onze klanten.

  • Impact maken
    Wij zijn ambitieus en resultaatgericht. Alles wat we doen, heeft toegevoegde waarde voor de klant.

  • Integer

    Wij zijn ons ervan bewust dat beveiliging een vertrouwelijke zaak is en gaan uiterst zorgvuldig om met informatie van onze klanten.

  • Technology is cool

    Wij omarmen technologische ontwikkelingen en helpen onze klanten deze veilig te integreren in hun dienstverlening en kwaliteitssysteem.

Wij geloven dat veiligheid en kwaliteit altijd voorop staat, ook in de digitale dienstverlening.

Missie

Wij beschermen de informatievoorziening van onze klanten en het beperken de impact van security incidenten voor mensen en organisaties.

Visie

Een goede, veilige informatievoorziening is een belangrijke randvoorwaarde om als organisatie succesvol te zijn. Tegelijkertijd is het een complexe puzzel. Het inrichten, beheren en beveiligen van de informatievoorziening vraagt om een gestructureerde aanpak waarin het samenspel tussen mensen, processen en technologie centraal staat. Het vinden van een goede balans tussen deze drie factoren verdient constante aandacht. Het beveiligen en optimaliseren van de informatievoorziening is dan ook geen eenmalig project, maar een doorlopend proces.

Strategie

Wij maken de processen rondom security, privacy en compliance eenvoudiger en toegankelijker. Dat doen we door ervoor te zorgen dat alle medewerkers het belang inzien van het optimaliseren van de bedrijfsprocessen en systemen om informatie te beveiligen,  zodat ze het niet zien als een extra taak, maar als een belangrijk, interessant onderdeel van hun werk.

Het is niet de vraag of je gehackt wordt maar wanneer!

Wij richten ons met name op organisaties in de IT sector zoals MSPs en SAAS-leveranciers.

We hebben veel ervaring met organisaties die diensten vanuit de cloud leveren of cloud-based oplossingen van externe IT leveranciers in hun bedrijfsprocessen willen integreren. Enkele voorbeelden van projecten waar we trots op zijn:

Optimaliseren van het incidentenproces.

In het Security Operations Center  (SOC) van een van onze klanten ging het regelmatig mis. Meldingen die bestemd waren voor de externe Managed Security Service Provider (MSSP), kwamen niet goed terecht en bleven daardoor te lang liggen. Om dit op te lossen, hebben we het proces eerst goed in kaart gebracht, de knelpunten benoemd en mogelijke oplossingen onderzocht. Vervolgens hebben we met de externe MSSP afspraken gemaakt. Samen hebben we op basis van de geïnventariseerde risico’s een aantal usecases uitgewerkt en geïmplementeerd om ervoor te zorgen dat alle incidenten voortaan meteen bij de juiste partij terechtkomen.

Certificering en Compliance

Onze klant kreeg steeds vaker de vraag naar een ISO27001 certificaat. Nu had de klant al allerlei beveiligingsmaatregelen genomen, maar nog niet voldoende om direct te certificeren. We hebben eerst een risk en security scan uitgevoerd om te bepalen welke aanvullende acties nodig waren om de organisatie te certificeren.
Met de resultaten zijn we samen aan de slag gegaan om beleid, maatregelen en compliance vereisten in te vullen. Binnen 9 maanden was de klant gecertificeerd voor ISO27001.
Inmiddels is de organisatie ook SOC2 en CSA STAR gecertificeerd SOC2 en CSA STAR. Bovendien heeft het  Eramba in gebruik genomen om grip te houden op alle risico’s en maatregelen. De klant heeft zijn beveiliging goed op orde en vanuit 25North houden we regelmatig een audit om compliance te borgen.

Incident response

Eind 2020 vroeg een van onze opdrachtgevers ons om te helpen bij het opstellen van een Cyber Security Incident Response (CSIR) plan. Hiervoor hebben we een bijeenkomst georganiseerd met medewerkers uit alle lagen van de organisatie om de meest waarschijnlijke rampscenario’s in kaart te brengen. Vervolgens hebben we voor drie van deze scenario’s een gedetailleerd stappenplan gemaakt waarin precies vastligt wat er moet gebeuren en wie daarvoor verantwoordelijk is. Die scenario’s hebben we ook geoefend en dat blijven we doen. Minimaal één keer per jaar en liefst vaker.

Hulp nodig?

De ervaring leert dat elke organisatie andere wensen, prioriteiten, voorwaarden en normen heeft als het om informatiebeveiliging gaat. Daarom kijken wij graag samen met u naar welke onderdelen de meeste aandacht nodig hebben. Op basis daarvan maken we een voorstel en gaan we aan de slag. Neem gerust contact op. Dan maken we een vrijblijvende afspraak om kennis te maken en de mogelijkheden te bespreken.