Meteen naar de inhoud

Matthijs

Auteur redfibre.nl; online profiel en korte blogs over IV en IT. LinkedIn

Assume breach

  • Blog

Traditionele informatiebeveiliging richt zich op het buitenhouden van een aanvaller uit een vertrouwde omgeving. Bijvoorbeeld een kantoorpand of lokaal netwerk. Tegenwoordig beschikken aanvallers echter over geavanceerde technieken én werken mensen veel meer vanuit huis, op verschillende (managed) devices.

‘Assume breach’ betekent dat je onderzoekt (en reageert) met het idee dat een aanvaller reeds toegang heeft: Staan er onbeveiligde toegangscodes of documenten in ons netwerk? Kun je overal meteen bij? Mag je zomaar software installeren? Deze manier van denken geeft richting om verder te gaan dan firewalls en wachtwoorden.

Google maar eens voor informatie hierover.

Volwassenheidsmodel informatiebeveiliging

  • Blog

Weten hoe het staat met de informatiebeveiliging over de volledige breedte? Daar is het ‘volwassenheidsmodel informatiebeveiliging‘ van de NBA (Accountants) een mooi hulpmiddel voor.

Via workshops met belanghebbenden kan er op ongeveer 80 onderdelen worden bepaald hoever de organisatie is. Er wordt daarna direct de link gelegd met bekende frameworks om verbeteringen te implementeren.

Shift Left Security

  • Blog

Eerder nadenken over informatiebeveiliging is een mooi streven. Het voorkomt dat het werk achteraf opnieuw moet worden gedaan. Binnen softwareontwikkeling heeft dit de naam ‘Shift Left Security‘, omdat zo aan het begin van een proces (links) security aan bod komt.

Overigens hoeft het niet per se een technische discussie te zijn: belanghebbenden uit de business kunnen zelf ook een shift left maken door security op te nemen in beleid, acceptatiecriteria en checklists. Vanuit de Avg zijn privacy by design & default inmiddels bekende hieraan gerelateerde onderwerpen.

Starten met informatiebeveiliging

  • Blog

Beginnen met het verbeteren van de informatiebeveiliging kan een lastige opdracht zijn. Een hulpmiddel is het uitvoeren van een risicoanalyse. Deze doorloopt globaal gezien altijd de volgende fasen: (1) bepaal de belangrijkste informatiesystemen/stromen, (2) koppel de dreigingen en kwetsbaarheden, en (3) selecteer en pas de juiste maatregelen toe. Herhaal dit proces jaarlijks of bij veranderingen.

Het is gelukkig niet nodig om alles zelf te bedenken: gebruik bijvoorbeeld ‘SPARK‘ als model, ‘MAPGOOD‘ voor de dreigingen of ‘RAVIB‘ als complete tool voor een risicoanalyse.

Business analyse

  • Blog

Een business analyse zorgt ervoor dat de doelen van een organisatie worden vertaald in specifieke acties, om deze doelen te kunnen behalen. Over het algemeen is een business analyse mogelijk op drie niveaus:

  • Strategische analyse – wat zijn onze sterke punten?
  • Procesanalyse – hoe werken processen en systemen optimaal samen?
  • Productanalyse – welke (IT)-oplossing sluit het beste aan bij onze wensen?

Veranderingen in de informatievoorziening en/of het aanschaffen, dan wel bouwen, van informatiesystemen hebben baat bij een business analyse vooraf.

Kijk voor meer informatie eens op bptrendsassociates.com.

Functioneel ontwerp

  • Blog

Een veelgebruikte aanpak om werkzaamheden in de IV/IT te beschrijven is het maken van een ‘functioneel ontwerp’. In een functioneel ontwerp beschrijf je de functionaliteiten die nodig zijn als uitwerking van de wensen van de klant of gebruiker.

Praktisch gezien wordt hiervoor vaak gekozen voor het format van ‘User Story’. Een User Story schrijf je vanuit de vraagsteller: als [rol] wil ik [functionaliteit] zodat ik [x] kan bereiken met [x] randvoorwaarden.

Het stukje randvoorwaarden vind ik een goede toevoeging om te zorgen dat de User Stories specifiek genoeg worden opgeschreven. Daarbij raad ik aan om: A. altijd de ‘non-functionals’ (bijv. performance) en B. een referentie naar het grotere plaatje (bijv. een stroomschema, wireframe of architectuur) op te nemen.