Essay: In dit hoofdstuk is de uitwerking van deelvraag 1: “Wat is informatiebeveiliging?” te vinden. In de uitwerking van deze deelvraag is te vinden wat er in dit onderzoek verstaan wordt onder informatiebeveiliging.

Essay details:

  • Subject area(s): Dutch essays
  • Reading time: 20 minutes
  • Price: Free download
  • Published on: June 26, 2019
  • File format: Text
  • Number of pages: 2
  • In dit hoofdstuk is de uitwerking van deelvraag 1: "Wat is informatiebeveiliging?" te vinden. In de uitwerking van deze deelvraag is te vinden wat er in dit onderzoek verstaan wordt onder informatiebeveiliging.
    0.0 rating based on 12,345 ratings
    Overall rating: 0 out of 5 based on 0 reviews.

Text preview of this essay:

This page of the essay has 5793 words. Download the full version above.

Als we het hebben over informatiebeveiliging dan hebben we het over de beschikbaarheid, integriteit en vertrouwelijkheid van informatie:
– Beschikbaarheid: Er voor zorgen dat bevoegde gebruikers wanneer dat nodig is toegang hebben tot informatie en bijbehorende bedrijfsmiddelen.
– Integriteit: Waarborgen van de nauwkeurigheid en volledigheid van de informatie en de gebruikte methoden om informatie te verwerken.
– Vertrouwelijkheid: Er voor zorgen dat informatie alleen toegankelijk is voor degenen die daartoe geautoriseerd zijn.
Op het moment dat gegevens/data worden ge��nterpreteerd tot een boodschap waar iemand iets mee kan dan is het informatie. Er zijn vele vormen van informatie te onderscheiden. Voorbeelden hiervan zijn informatie op papier, digitale informatie en audio/film materiaal. Informatie heeft waarde voor een organisatie en wordt dan ook gezien als bedrijfsmiddel, net als andere belangrijke bedrijfsmiddelen moet ook informatie naar mate van het belang worden beschermd. Het belang van het bescherming van informatie begint steeds groter te worden omdat de digitalisering steeds verder toeneemt met de daarbij behorende dreigingen.
Informatiesystemen
Het gevaar zit vaak in de overdracht en de verwerking van informatie, dit gebeurt doormiddel van informatiesystemen. Elk systeem met een doel gericht op informatie overdracht is een informatiesysteem. Naast de gebruikelijke ICT systemen zijn dus ook dossiers, archieven en mobiele telefoons informatiesystemen. Als we alleen kijken naar de informatiebeveiliging dan is de definitie van een informatiesysteem: “Het geheel van middelen, procedures, regels en mensen dat de informatievoorziening voor een bedrijfsproces verzorgt.” (Hans Baars, 2008)
Om de verschillende soorten informatie te beschermen zijn door het Nederlands Normalisatie Instituut (NEN) en de Internationale Organisatie voor Standaardisatie (ISO) de richtlijnen van de ISO 27001/02 en NEN 7510 normen in het leven geroepen. De normen zijn er op gericht om schade als gevolg van verstoringen in de informatievoorziening te voorkomen of beperken. Om dit te bewerkstelligen zijn er beheersmaatregelen opgenomen voor procedures, werkwijzen en beleid. Naast deze beheersmaatregelen zijn er richtlijnen opgenomen om de inrichting van de organisatiestructuur te verbeteren. Om de goede maatregelen te kiezen moeten er constant keuzes gemaakt worden op basis van de factoren: risico’s, kosten en de mogelijkheden binnen een organisatie. Omdat deze factoren altijd blijven veranderen vereisen de normen ook een proces te constante verbetering van het informatiebeveiligingssysteem om altijd te kunnen blijven voldoen aan de vereisten van informatiebeveiliging.

1.3 Belang van het werken volgens de ISO normen
Hoofdstuk 2 richt zich op het vraagstuk waarom het voor aXtion BV van belang is om zich bezig te houden met informatiebeveiliging zoals gewenst in de ISO 27001/02 en NEN 7510 normen. Dit is de uitwerking van deelvraag 2: ” Waarom is het voor aXtion BV belangrijk om zich te richten op de ISO 27001/02 en NEN 7510 normen?” Er volgt een bedrijfsanalyse en aan de hand daarvan wordt gekeken welke belangen er voor aXtion zijn om een goede Planning & Control-cyclus in te richten voor informatiebeveiliging.
Bedrijfsanalyse aXtion BV
aXtion BV is net als Lode BV, ProCare BV en Umaco BV een dochteronderneming van Lode Holding BV. Lode Holding BV neemt deel in bedrijven actief op het gebied van Life Science. Denk daarbij aan medische technologie of aan de sector zorg en een gezonde leefomgeving.
aXtion BV (aXtion) is een ICT organisatie gericht op innovatieve projecten in zorg en welzijn. Waar de Lode Holding zich richt op de betrekking tot fysiologische metingen richt aXtion zich binnen de Holding op web applicaties en koppelingen met apparatuur en registratiesystemen. aXtion levert organisaties geavanceerde IT-oplossingen die ondernemingen aantoonbare toegevoegde waarde leveren op het gebied van informatiemanagement. aXtion richt zich daarbij op de IT-architectuur, processen, applicaties en infrastructuur en biedt organisaties een compleet scala aan diensten op deze terreinen. Van haalbaarheidsstudie en procesanalyses tot implementatie en onderhoud.
Medewerkers
aXtion BV 14 medewerkers waarvan 5 stagiaires
Lode BV 40 waarvan 6 stagiaires
Lode holding BV 9 waarvan 2 stagiaires
Procare BV 23 medewerkers
Umaco BV 3 medewerkers
Dat maakt een totaal van 90 medewerkers waarvan 13 stagiaires zijn. We kunnen dus zien dat er binnen de Holding 14,44% van de medewerkers stagiair is en bij aXtion ligt dit percentage zelfs op 35,7%.

Organogram aXtion BV
Afbeelding 1: Organogram aXtion BV
Waarom is informatiebeveiliging belangrijk voor aXtion BV?
Zoals aangegeven is aXtion een ontwikkelpartij in de IT gericht op de zorg en welzijn sector. Dit wil zeggen dat ze veel te maken hebben met pati��ntgegevens van de partijen waar ze aan leveren. Voordat de Planning & Control-cyclus onder de loep genomen kan worden moet eerst duidelijk zijn wat de belangen voor aXtion zijn om deze cyclus goed op orde te hebben. De volgende belangen zijn er voor aXtion BV te onderscheiden:

– Voldoen aan wet en regelgeving
Omdat klanten van aXtion in de zorg sector zitten krijgt aXtion te maken met het verwerken van persoonsgegevens. Dit zorgt er voor dat de Wet bescherming persoonsgegevens (Wbp) op aXtion van toepassing is. In artikel 14 lid 1 van deze wet staat dat de verantwoordelijke (klant aXtion) moet waarborgen dat de bewerker (aXtion) passende technische en organisatorische maatregelen heeft genomen om de persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Het is voor aXtion dus van belang om zich meer te richten op informatiebeveiliging om te zorgen dat ze voldoen en blijven voldoen aan de eisen gesteld in de Wet bescherming persoonsgegevens.

– Marketingvoordeel bereiken
Als aXtion laat zien dat het zich actief bezig houdt met informatiebeveiliging dan kan dit positief uitpakken voor het imago van aXtion. In een markt waarin de beveiliging van informatiesteeds belangrijker wordt is het zaak om je te onderscheiden van de concurrentie. Als aXtion laat zien dat het werkt aan informatiebeveiliging kunnen ze een betere concurrentiepositie krijgen ten opzichte van bedrijven die dat dus niet doen.

– Lagere kosten
De ISO en NEN zijn er op gericht om incidenten in de informatiebeveiliging te voorkomen. Ieder incident kost geld, hoe groot of klein het incident ook is. Daarom kunnen er door invoering van een betere informatiebeveiliging kosten worden bespaard omdat incidenten worden voorkomen.

– Organisatorische structuur
Een onderneming als aXtion is een snelgroeiend bedrijf even als de rest van de Lode holding, hierdoor komt het voor dat er steeds nieuwe onderdelen worden ontwikkeld en door tijd gebrek is niet duidelijk wie de verantwoordelijken zijn of wat de processen zijn. Een onderzoek naar de invoering van de ISO zorgt er voor dat alle processen worden nagekeken en in kaart wordt gebracht wie verantwoordelijk is voor welk bedrijfsmiddel. Kortom, het zorgt voor structuur in de organisatie.

– Kwaliteit leveren
De klanten letten er op of aXtion kwaliteit blijft leveren. Informatiebeveiliging speelt hierin een belangrijke rol. Op het juiste moment de juiste informatie beschikbaar stellen aan klanten zorgt voor een hoge kwaliteit. Voor een bedrijf als aXtion is het ervoor zorgen dat informatie van klanten integer en vertrouwelijk wordt behandelt van groot belang. Dit komt voort uit de verwachting van de pati��nten en hun naasten, deze mensen verwacht dat de informatie die ze aanleveren beschikbaar (op het juiste moment), integer (volledig en juist) en vertrouwelijk (alleen toegankelijk voor rechthebbenden) is.

1.4 Gewenste situatie Planning & Control (SOLL)
Het derde hoofdstuk van dit onderzoek gaat in op de gewenste situatie, dit wordt uitgezocht aan de hand van de ISO 27001/02 normen en de NEN 7510. Het uitwerken van de gewenste situatie geeft een antwoord op de derde deelvraag van dit onderzoek: “Hoe ziet de gewenste situatie van de Planning en Control-cyclus er uit volgens de normen?”

In deze deelvraag wordt er eerst ingegaan op wat de verschillende normen inhouden, wat ze met elkaar gemeen hebben en wat de grootste verschillen tussen de normen zijn. Daarna zal er te lezen zijn wat er vanuit de normen verwacht wordt in het kader van Planning & Control en zal de cyclus worden uitgewerkt zoals hij volgens de normen zou moeten zijn.

ISO 27001
De ISO 27001 is een internationale norm die beschrijft hoe informatiebeveiliging in een organisatie kan worden beheerst. De focus ligt op het beschermen van de beschikbaarheid, integriteit en vertrouwelijkheid van de informatie. Dit wordt gedaan door te onderzoeken wat de risico’s zijn, waar ze vandaan komen en ze dan te beheersen.

ISO 27002
De ISO 27001 geeft dus aan voor welke onderdelen er richtlijnen, procedures en beleid nodig is. En de ISO 27002 geeft invulling aan deze onderdelen door met beheersmaatregelen te komen die toegepast kunnen worden om aan de eisen van de ISO 27001 te voldoen.

NEN 7510
De NEN7510 is afgeleid van de ISO 27001 / 27002 en is speciaal ingericht voor de zorgsector. Een sector waar aXtion dus niet zelf deel vanuit maakt maar wel veel klanten vanuit die sector ondersteuning bied met zijn software. Dat is dan ook de reden dat het voor aXtion belangrijk is om te kijken wat de vereisten van de NEN 7510 zijn en in hoeverre deze verschillen van de bovengenoemde ISO normen. In onderstaand schema is te zien in hoeverre ze hetzelfde zijn: Afbeelding 3: Overzicht overeenkomsten ISO 27001/02 en NEN 7510

Algehele samenvatting normen
In afbeelding 3: “Overzicht overeenkomsten ISO 27001/02 en NEN 7510″ is te zien dat de NEN 7510 op een enkele indeling van een hoofdstuk na gelijk is aan de ISO 27001 en 27002.
Kort samengevat is de NEN 7510 dus afgeleid van beide ISO normen en kan de informatie uit alle drie normen worden gebruikt om een goed systeem op te zetten met bijbehorende Planning & Control-cyclus. Alle normen zijn er op gericht om als organisatie in ‘control’ te zijn over de informatiebeveiliging, dit wil niet zeggen dat er 100% veiligheid wordt verwacht. Het is belangrijk om de balans te vinden om de bedrijfseconomische risico’s zoveel mogelijk af te dekken zonder dat dit ten koste gaat van de gebruiks- / klant vriendelijkheid. In ‘control’ zijn houdt het volgende in:
– Zeggen wat je als bedrijf doet aan informatiebeveiliging.
– Doen aan informatiebeveiliging wat je zegt dat je doet.
– Laten zien doormiddel van audits dat je daadwerkelijk doet wat je zegt.

Planning & Control
Planning & control is er op gericht om doelstellingen van de organisatie te realiseren en bewaken. Het doel hiervan is om inzicht te krijgen in wat er de komende jaren verwacht kan worden en daarnaast het vergroten van de beheersbaarheid richting het behalen van de doelstellingen.
PDCA – Cirkel (Kwaliteitscirkel van Deming) (Nieuwenhuis, 2010)
De PDCA cirkel is opgebouwd uit een viertal onderdelen. Elk van deze onderdelen zal hier onder worden besproken en gelijk aangepast worden aan hoe deze zou moeten zijn volgens de ISO normen.

Afbeelding 4: PDCA volgens de ISO 27001 / NEN 7510

PLAN: In de PLAN fase stel je een plan op waarin je duidelijk maakt wat je wil gaan bereiken met informatiebeveiliging en hoe je dit wil gaan doen. Bij de normen begint de PLAN fase met het vaststellen van het ISMS, het ISMS zorgt er voor dat er duidelijke richtlijnen en plannen klaar liggen om de doelen gericht op informatiebeveiliging te behalen. Hierin komt naar voren welke processen en procedures aangepakt moeten worden om de risico’s van de organisatie te kunnen beheersen.

DO: De DO fase gaat over het uitvoeren van de plannen, hierbij moet er gekeken worden naar de resultaten van de uitgevoerde risicoanalyses en op basis daarvan moeten procedures en beheersmaatregelen worden doorgevoerd om er voor te zorgen dat de risico’s ingeperkt kunnen worden.

CHECK: In de CHECK fase beoordeel / meet je de prestaties van de ingevoerde beheersmaatregelen en kijk je of ze effect hebben gehad. Dit door te kijken naar de doelstellingen die voor de organisatie zijn beschreven in het ISMS. De uitkomsten hiervan worden gerapporteerd en ter beoordeling aan het management overgedragen.
ACT: Nadat in de CHECK fase audits zijn uitgevoerd en hiervan rapportages zijn afgeleverd aan het management kan er gekeken worden naar wat voor corrigerende of preventieve maatregelen er genomen dienen te worden om continue verbetering van het ISMS te bewerkstelligen.

1.5 Huidige situatie Planning & Control aXtion (IST)
Dit hoofdstuk gaat in op de huidige situatie van de planning en control cyclus die er is bij aXtion. Aan de hand van een nulmeting kan worden bepaald hoe ver de cyclus ontwikkeld is. Vervolgens kan deze vergeleken worden met de informatie die naar voren is gekomen in hoofdstuk 3.
In deze deelvraag wordt de huidige Planning & Control-cyclus van aXtion BV in kaart gebracht en die cyclus wordt vergeleken met de cyclus zoals die volgens de normen zou moeten zijn. Hierdoor kan er antwoord worden gegeven op de vraag: ” In hoeverre voldoet de huidige Planning en Control-cyclus voor informatiebeveiliging van aXtion BV aan de vereisten uit de ISO 27001/02 en NEN 7510 normen?”
PDCA-cyclus
Uit een intern onderzoek binnen de organisatie is gebleken dat er geen vast systeem is om informatiebeveiliging te integreren en continue te blijven verbeteren. Wel zijn er natuurlijk maatregelen genomen voor informatiebeveiliging, maar er is dus niet iets aanwezig dat er voor zorgt dat er standaard aandacht wordt besteed aan informatiebeveiliging.

Als ik de huidige staat van informatiebeveiliging moet beschrijven dan wordt er bij aanschaf van nieuwe apparatuur of op het moment dat er een incident optreedt gekeken naar de beveiliging. Er is geen vast patroon aanwezig waarin er aan de continue verbetering van informatiebeveiliging gewerkt wordt. Vanuit de ISO normen is dit wel een vereiste, dus het mag duidelijk zijn dat dit in de toekomst zeker toegepast dient te worden.

Rapportages
Naast het ontbreken van een PDCA-cyclus worden er ook geen rapportages opgemaakt over de incidenten die er zijn met betrekking tot informatiebeveiliging. Op deze manier kan er ook geen controle worden gehouden op wat er gebeurt en is het dus ook lastig om problemen die eerder voorgekomen zijn te voorkomen of sneller op te lossen. De afwijkingen tussen de huidige situatie van Planning en Control en de gewenste situatie vanuit de ISO normen is dus groot.

1.6 Aanbevelingen op basis van de theorie
Hoofdstuk 5 maakt inzichtelijk wat er vanuit de theorie wordt meegegeven om er voor te zorgen dat de Planning & Control cyclus van aXtion kan worden verbeterd en beheerst. Dit hoofdstuk is van concluderende aard en geeft daarmee antwoord op deelvraag 5: ” Welke aanbevelingen kunnen er aan de hand van de theorie worden gedaan om de Planning en Control-cyclus te verbeteren en te beheersen?”

Deze laatste deelvraag is van concluderende aard, er wordt ingegaan op de resultaten uit de vorige deelvragen en aan de hand van de theorie en de normen worden aanbevelingen gedaan om voor aXtion een Planning & Control-cyclus in te richten waardoor ze voldoen en blijven voldoen aan de vereisten van de normen.
Wat is planning & control volgens de theorie?
Planning & Control is een bij de operationele bedrijfsvoering passend cyclisch proces, waarbij de aanwezigheid van meetbare beleidsdoelstellingen wordt verondersteld.

Omschrijving begrip: “Control (beheersing) van de primaire processen met het oog op het realiseren van het bedrijfsdoel.”
De planning & control cyclus maakt het mogelijk te sturen op effectiviteit en op efficiency.
* Effectiviteit: voldoende mate van doelrealisatie
* Efficiency: doelmatige inzet van bedrijfsmiddelen

Modellen:
Een effectieve manier om Planning & Control toe te passen binnen een organisatie is om hiervoor een management model te gebruiken. Hierdoor zorg je er voor dat je zicht houdt op de prestaties die je als organisatie behaalt en kan je monitoren waar nog winst te behalen valt. In het vooronderzoek heb ik gekeken naar meerdere modellen en uiteindelijk zijn er nog twee over gebleven die ik hier verder ga uitschrijven. Uiteindelijk zal ik een aanbeveling schrijven voor aXtion om gebruik te gaan maken van ����n van deze twee modellen.

Balanced scorecard model (BSC):
De Balanced scorecard is een model om bepaalde onderdelen binnen je organisatie te monitoren en bij te houden. Voor een bepaald onderdeel (informatiebeveiliging) ga je dan kijken naar meetbare KPI’s (kritische prestatie indicatoren). De vier perspectieven waar naar gekeken worden zijn:
– Financieel (resultaten);
– Afnemers / klanten;
– Interne processen;
– Leer en groei.

Per perspectief moet er gekeken worden naar welke KPI’s belangrijk zijn om de visie en strategie gericht op informatiebeveiliging te behalen. Je kan de Balanced scorecard ook vertalen naar de PDCA cyclus, hierin zijn de KSF’s (kritische succesfactoren) en de bijbehorende KPI’s (kritische prestatie indicatoren) de Plan fase. Het uitvoeren is de ‘Do-fase’ de controle met de vastgestelde norm is de ‘Check-fase’ en de bijsturing hierop de ‘Act-fase’. De balanced scorecard past daarom goed bij het continue verbeteren dat vereist wordt vanuit de ISO normen. Doel van de balanced scorecard is dus niet om de bedrijfsvoering te optimaliseren, maar het is een systeem om het implementeren van je strategie te monitoren en daar feedback op te krijgen.

Vanuit de gevormde strategie (het ISMS) moeten er doelstellingen bepaalt worden. Voor deze doelstellingen moeten KSF’s gemaakt worden. Een voorbeeld van een KSF is: “Verminderen incidenten”, om dit meetbaar te maken worden er KPI’s aangekoppeld. Een bijbehorende KPI zou kunnen zijn een daling van 5% van het aantal incidenten. Dit kan je meetbaar maken door te kijken naar het aantal incidenten in voorgaande jaren en die te vergelijken met de gegevens die hier naar voren komen.

– Financieel: ����n van de belangrijkste redenen om een onderzoek naar de ISO normen te doen is om een marktvoordeel te behalen. Een voorbeeld KSF zou dus een omzet stijging kunnen zijn met een KPI van een stijging van 10%.
– Afnemers/klanten: zijn de klanten tevreden met wat er gedaan wordt aan informatiebeveiliging of eisen ze meer? Doormiddel van het houden van jaarlijkse enqu��tes onder klanten kan er gekeken worden naar eventuele veranderingen in de waardering die naar voren komt uit de enqu��tes.
– Interne processen: Welke processen/procedures moeten verder ontwikkelt of gemaakt worden om er voor te zorgen dat de organisatie de werknemers tevreden houdt? Een goede informatiebeveiliging begint namelijk bij de werknemers.
– Leer en groei: Hoe zorg je er voor dat je als bedrijf je kan blijven ontwikkelen op het gebied van informatiebeveiliging?
INK-management model
Het INK model is er op gericht om te streven naar balans binnen de interne stakeholders, resultaten en inspanningen ten behoeve van beoogde prestaties. Om dit te bereiken zijn er negen elementen geformuleerd die door het gebruik van PDCA beheerst gestabiliseerd en gestandaardiseerd kunnen worden. Het model is er dus om te sturen en te evalueren, hierdoor komen de verbeterpunten van de organisatie boven tafel. Het model maakt gebruik van vijf organisatiegebieden, vier resultaatgebieden waarin de doelstellingen naar voren komen en ����n gebied waarin de continue verbetering centraal staat. Voor informatiebeveiliging zou een dergelijk model ingericht kunnen worden om via de organisatiegebieden en resultaatgebieden te kijken waar nog winst te behalen valt om de gehanteerde strategie verder te ontwikkelen.

Organisatiegebieden:
– Leiderschap
– Beleid en strategie
– Personeelsmanagement
– Middelenmanagement
– Management van processen
Resultaatgebieden:
– Klantwaardering
– Personeelswaardering
– Maatschappelijke waardering
– Ondernemingsresultaten
De organisatiegebieden zorgen er samen voor dat er resultaten worden gehaald in de resultaatgebieden. Het model is er voornamelijk op gericht om een strategie die al goed draait nog verder te ontwikkelen en is dus minder geschikt voor het opstarten/invullen van een strategie.
Conclusie & aanbevelingen modellen:
Beide modellen zijn gericht op dezelfde deelgebieden. (Medewerkers, Klanten, Processen en Resultaten) Daarnaast zijn ze beide gericht op de PDCA cyclus en ook daarom passen ze goed binnen dit onderzoek. Om te kunnen kiezen welk model geschikt is voor de organisatie moet er gekeken worden naar het doel van het model. Bij de balanced scorecard gaat het om het vormen van een strategie en het monitoren van de implementatie van de strategie. Bij het INK model daarentegen gaat het om het verbeteren van de kwaliteit van de organisatie doormiddel van een gestructureerde en consistente aanpak.
Omdat aXtion dus net is begonnen met het opzetten van een strategie voor de informatiebeveiliging is het aan te bevelen om eerst gebruik te maken van de Balanced scorecard. Dit model zorgt er voor dat je de strategie kan perfectioneren. Per perspectief van de Balanced scorecard zal er kritisch moeten worden gekeken naar de invulling van de KSF’s en KPI’s om de effici��ntie van het model te verhogen.
Bewustzijn
Naast de beschreven modellen wil ik ook graag op een ander onderdeel van de ISO en NEN in gaan, en dat is het onderdeel bewustzijn. Uit de stageopdracht die ik hier uitgevoerd heb is naar voren gekomen dat er nog veel winst valt te behalen binnen het bedrijf op het gebied van bewustzijn bij de medewerkers. Hierin ligt een rol van aansturing voor het management, een goed hulpmiddel hiervan is het gebruik van de controls van Merchant.

Merchant
De ISO 27001/02 en de NEN 7510 zijn er op gericht dat een onderneming “in control” is. Merchant (1998) zegt dat er gestreefd moet worden naar een goede control, niet naar de perfecte control. Dat is ook hier van toepassing. Het zal voor aXtion niet mogelijk zijn om perfecte control te hebben, perfecte control wil zeggen dat je volledige zekerheid hebt en dat kan je nou eenmaal niet garanderen op het gebied van informatiebeveiliging. Vaak gaan extra beveiligingsmaatregelen namelijk ook weer ten koste van de gebruiksvriendelijkheid en daarom is het belangrijk dat er gestreefd wordt naar goede control met aanvaardbare risico’s.
Om binnen een organisatie control te hebben is het van belang dat het gedrag van een ieder binnen de organisatie in de gewenste richting wordt gedirigeerd. Om dit te bewerkstelligen gebruikt Merchant de volgende objecten: Action controls, Result controls en Personal & Cultural controls.
Deze zijn volgens Merchant nodig vanwege de volgende problemen binnen een organisatie:
– ‘Lack of direction’
Hiermee wordt bedoelt dat de capaciteiten van het personeel niet optimaal benut wordt omdat niet duidelijk is wat van hun verwacht wordt.
– ‘Motivational problems’
Dit ontstaat meestal doordat de persoonlijke doelen anders zijn dan de organisatiedoelen, hierdoor is de motivatie niet aanwezig om te voldoen aan de eisen van de organisatiedoelen.
-‘Personal limitations’
De personele beperkingen hebben te maken met het gebrek aan intelligentie, ervaring of kennis. Hierdoor kunnen de doelen niet worden behaalt omdat de capaciteiten om te voldoen aan de eisen simpelweg niet aanwezig zijn.

Action controls
De Action controls zijn gericht op het be��nvloeden op het gedrag op zo’n manier dat de medewerkers doen wat van hun verwacht wordt. Hiervan zijn vier basisvormen onderscheiden:

– Behavioral constraints: Hiermee zorg je er voor dat het personeel beperkingen opgelegd worden waardoor je beter in control bent op wat een ieder kan en mag. Voorbeelden hiervan zijn het gebruik van wachtwoorden, toegang tot bepaalde systemen of ruimten beperken voor bepaalde personen.
– Preaction reviews: Voordat een plan wordt uitgewerkt deze grondig bestuderen om te kijken of het voldoet aan wat er gevraagd wordt.
– Action accountability: Het verantwoordelijk stellen van personeel voor de werkzaamheden die ze uitvoeren. Om dit te bewerkstelligen is het wel belangrijk om eerst duidelijk te maken welke werkzaamheden toegestaan zijn en welke niet. Goed gedrag belonen, slechte bestraffen.
– Redundancy: Overtolligheid, zorgen voor voldoende back-up voor het uitvoeren van belangrijke taken. Dit heeft vaak tot gevolg dat er meer mankracht voor een bepaalde taak beschikbaar is dan mogelijk maar zorgt er wel voor dat je de controle kan behouden.
Result controls
Bij Result controls is het vooral gericht op het be��nvloeden van de medewerkers door goede bijdrage aan de resultaten te belonen en negatieve bijdrage te bestraffen. Hierdoor is het voor de medewerkers duidelijk welke bijdrage belangrijk is en dit zorgt voor motivatie om deze uit te voeren aangezien ze weten dat dit beloond wordt.

Personnel & Cultural controls
De personele en culturele controls zijn gebaseerd op normen en waarden die op iedereen binnen de organisatie van toepassing zijn. Hierdoor ontstaat een vorm van zelf en sociale controle op de naleving van de normen en waarden. Deze controls zijn het laatste stukje van de puzzel, wat niet opgevuld kan worden door de Action en Result controls kan worden ingevuld door deze controls.
De manieren om deze controls in te vullen zijn; selectie, training en het inrichten van werk.
Het gaat hier om de selectie van de juiste mensen voor het juiste werk en daarnaast het cre��ren van een goede werkomgeving.
Conclusie naar aanleiding van controls van Merchant
Omdat de ISO normen er opgericht zijn om als organisatie is het vanuit de leiding belangrijk om bewust te zijn van deze controls van Merchant. Zoals in eerder hoofdstukken aangegeven heeft het management een belangrijke rol als het gaat om het sturen van het personeel en ze bewust maken van de noodzaak om op een andere manier naar informatiebeveiliging te kijken en er dus bewust mee bezig te zijn.
Met name de Result controls en de Personnel & Cultural controls zijn van toepassing voor het management aangezien de Action controls meer gericht zijn op het fysieke deel van de beveiliging. De ‘lack of direction’, ‘motivational problems’ en de ‘personal limitations’ zijn vaak onderdelen waarop het invoeren van nieuwe beleid misloopt. Als management is het hierin belangrijk om sturing te geven, belanghebbenden hun doelen gelijk te trekken met die van de organisatie en om het juiste personeel voor de juiste taak te krijgen.

1.7 Conclusie en aanbevelingen onderzoeksopdracht
Gedurende dit onderzoek zijn er allemaal resultaten verzameld waarop een advies met betrekking tot de Planning & Control cyclus van aXtion gebaseerd kan worden. Op basis van de vorige vijf hoofdstukken waarin de deelvragen zijn uitgewerkt zal in dit hoofdstuk een advies worden weergegeven over de inrichting van de Planning & Control cyclus gericht op informatiebeveiliging voor aXtion.

De deelvragen van dit onderzoek zijn:
1. Wat is informatiebeveiliging?
2. Waarom is het voor aXtion BV belangrijk om zich te richten op de ISO 27001/02 en NEN 7510 normen?
3. Hoe ziet de gewenste situatie van de Planning en Control-cyclus er uit volgens de normen?
4. In hoeverre voldoet de huidige Planning en Control-cyclus voor informatiebeveiliging van aXtion BV aan de vereisten uit de ISO 27001/02 en NEN 7510 normen?
5. Welke aanbevelingen kunnen er aan de hand van de theorie worden gedaan om de Planning en Control-cyclus te verbeteren en te beheersen?

Bovenstaande deelvragen zijn afgeleid van de hoofdvraag, deze is als volgt:
Hoe kan de Planning & Control cyclus van aXtion BV ontwikkeld worden zodat ze voldoen en blijven voldoen aan de eisen van de ISO 27001/02 en NEN 7510 normen?

Per deelvraag zal nu een conclusie geformuleerd worden en uiteindelijk zal er dan antwoord worden gegeven op de hoofdvraag.
1. Informatiebeveiliging
De beheersing van de informatiebeveiliging is de reden dat dit onderzoek is uitgevoerd. Om het onderzoek uit te kunnen voeren moet er dus eerst antwoord gegeven worden op de vraag: “Wat is informatiebeveiliging?” Informatiebeveiliging is gericht op de beschikbaarheid, betrouwbaarheid en vertrouwelijkheid van informatie. Het gevaar hiervan zit vaak in de overdracht van de informatie, dit gebeurt doormiddel van informatiesystemen. Als we informatiesystemen moeten beschrijven in het kader van planning en control voor informatiebeveiliging dan zijn informatiesystemen: “Het geheel van middelen, procedures, regels en mensen die de informatievoorziening voor een bedrijfsproces verzorgt.” (Hans Baars, 2008)
2. Belang bij informatiebeveiliging
De basis voor Planning & Control ligt bij de strategie en doelstellingen van in dit geval informatiebeveiliging. Om de strategie��n en doelstellingen te kunnen bepalen moet er gekeken waarom het voor aXtion zo belangrijk is om werk te maken van een verbetering van de planning & control.
aXtion is een ontwikkelpartij in de IT gericht op de zorg en welzijn sector. Dit is een sector waar veel met gevoelige informatie wordt gewerkt en waar aXtion dus ook mee in aanraking komt. Ondanks dat er voldaan moet worden aan wet en regelgeving (Wet bescherming persoonsgegevens) is dat niet de belangrijkste doelstelling van informatiebeveiliging voor aXtion. Van een groter belang zijn: Marketingvoordeel bereiken, kwaliteit leveren en het zorgen voor lagere kosten.
Het advies in deze is dan ook om als doelstelling te nemen dat er met de informatiebeveiliging een marketingvoordeel behaald kan worden. Op basis van deze doelstelling kan de planning en control worden ingericht omdat dit een meetbaar doel is. Dat wil zeggen dat er gekeken kan worden naar de hoeveelheid opdrachten die binnengehaald worden in een bepaalde termijn en daarnaast naar wijzigingen in de omzet.
Zoals gebleken is uit de inventarisatie van de huidige situatie is er momenteel nog amper een planning en control cyclus voor informatiebeveiliging aanwezig. Met het formuleren van een doelstelling en bijbehorende strategie kan de basis worden gelegd voor de planning en control.
3. Gewenste situatie planning en control
Vanuit de ISO en NEN normen wordt steevast voorgeschreven dat er een continu proces van verbetering van informatiebeveiliging moet worden ingericht. Dit moet gebeuren aan de hand van een in te richten ISMS (information security management system) en een PDCA cirkel.
PLAN: Het ISMS vaststellen.
DO: Het ISMS implementeren en uitvoeren.
CHECK: Het ISMS bewaken en beoordelen.
ACT: Het ISMS bijhouden en verbeteren.

Actieve hulpmiddelen waarmee hier vorm aangegeven kan worden zijn het opstellen van een informatiebeveiligingsbeleid met doelstellingen voor informatiebeveiliging, een risicoanalyse met bijbehorend risicomanagement en rapportages naar aanleiding van deze risicoanalyse.
4. Afwijkingen huidige en gewenste situatie
Zoals aangegeven zijn er op dit moment worden er nog geen rapportages gemaakt en is er ook geen PDCA-cyclus ingericht om informatiebeveiliging te verbeteren bij aXtion. De afwijkingen tussen de gewenste situatie zoals geschetst bij deelvraag 3 en de huidige situatie die nihil is, is dan ook groot.
5. Aanbevelingen op basis van de theorie
Vanuit de theorie zijn een tweetal modellen uitgewerkt, hierbij is gekeken naar de Balanced scorecard en het INK-management model. Om een keuze te maken in dit model is gekeken naar het doel van de modellen, waar het INK model gericht is op het verder verbeteren van een reeds aanwezig strategie en bij het Balanced scorecard model wordt er gekeken hoe er een strategie opgezet kan worden.
Vandaar dat ik op basis van de theorie kan aanbevelen om gebruik te maken van het Balanced scorecard model om de gekozen strategie voor informatiebeveiliging te koppelen aan meetbare doelstellingen (KPI en KSF). Het model richt zich op vier deelgebieden: medewerkers, klanten, processen en resultaten. Een voorbeeld van een invulling hiervan zou als volgt zijn:
– Financieel: ����n van de belangrijkste redenen om een onderzoek naar de ISO normen te doen is om een marktvoordeel te behalen. Een voorbeeld KSF zou dus een omzet stijging kunnen zijn met een KPI van een stijging van 10%.
– Afnemers/klanten: zijn de klanten tevreden met wat er gedaan wordt aan informatiebeveiliging of eisen ze meer? Doormiddel van het houden van jaarlijkse enqu��tes onder klanten kan er gekeken worden naar eventuele veranderingen in de waardering die naar voren komt uit de enqu��tes.
– Interne processen: Welke processen/procedures moeten verder ontwikkelt of gemaakt worden om er voor te zorgen dat de organisatie de werknemers tevreden houdt? Een goede informatiebeveiliging begint namelijk bij de werknemers.
– Leer en groei: Hoe zorg je er voor dat je als bedrijf je kan blijven ontwikkelen op het gebied van informatiebeveiliging?
Als hier vervolgens eenmaal per kwartaal een rapportage en een overleg over plaatsvindt kan er gekeken worden in hoeverre het systeem voldoet en of de gestelde doelstellingen voor informatiebeveiliging bereikt worden.
Bewustzijn
Naast de PDCA-cyclus ligt er ook ruimte voor verbetering op het gebied van het bewustzijn en de aansturing van de medewerkers. Dit kan door gebruik te maken van de controls van Merchant. Deze controls zorgen er voor dat je als management grip hebt op de gebruikers en ze kan sturen in de gewenste richting om de informatiebeveiligingsdoelstellingen te halen.
Hierbij wordt gekeken naar een drietal deelgebieden:
– Action Controls
– Result Controls
– Personnel & Cultural controls
Deze zijn volgens Merchant nodig vanwege de volgende problemen binnen een organisatie:
– ‘Lack of direction’
Hiermee wordt bedoelt dat de capaciteiten van het personeel niet optimaal benut wordt omdat niet duidelijk is wat van hun verwacht wordt.
– ‘Motivational problems’
Dit ontstaat meestal doordat de persoonlijke doelen anders zijn dan de organisatiedoelen, hierdoor is de motivatie niet aanwezig om te voldoen aan de eisen van de organisatiedoelen.
-‘Personal limitations’
De personele beperkingen hebben te maken met het gebrek aan intelligentie, ervaring of kennis. Hierdoor kunnen de doelen niet worden behaalt omdat de capaciteiten om te voldoen aan de eisen simpelweg niet aanwezig zijn.

Beantwoording hoofdvraag:
Hoe kan de Planning & Control cyclus van aXtion BV ontwikkeld worden zodat ze voldoen en blijven voldoen aan de eisen van de ISO 27001/02 en NEN 7510 normen?
Omdat aXtion begonnen is met het uitzetten van een strategie voor het verbeteren van de informatiebeveiliging is het aan te raden om hierbij gebruik te maken van de Balanced scorecard. Hiermee kunnen de gestelde doelen voor informatiebeveiliging meetbaar worden gemaakt en kan er beoordeeld worden of de strategie goed werkt of nog verder ontwikkeld moet worden.
PDCA:
Voor informatiebeveiliging volgens de onderzochte ISO en NEN normen is de PDCA cyclus perfect te gebruiken. Voor aXtion wil ik aanraden om het als volgt in te vullen:
– PLAN: Het opstellen van een informatiebeveiligingsbeleid, hierin komen de doelstellingen voor informatiebeveiliging naar voren en ga je beschrijven wat je allemaal wil gaan doen aan informatiebeveiliging.
– DO: Het uitvoeren van de maatregelen die je genoemd hebt in je informatiebeveiligingsbeleid.
– CHECK: Door gebruik te maken van een risicoanalyse kan er gekeken worden op welke gebieden aXtion nog risico loopt.. Van de risico’s zal dan een rapportage gemaakt worden voor het management.
– ACT: De risico’s die naar voren zijn gekomen vanuit de risicoanalyse zullen moeten worden beoordeeld. Een goede vorm van risicomanagement heeft tot gevolg dat je vervolgens de risico’s gaat beoordelen, hierbij zal er naar gekeken moeten worden wat de impact is en de kans waarop het voorkomt. Bepaalde risico’s zullen dan worden geaccepteerd maar andere risico’s zullen weer maatregelen tegen genomen moeten worden. Zodra dit bepaald is kunnen deze maatregelen worden doorgevoerd en begint de PDCA cyclus weer opnieuw. Hiermee garandeer je een continue verbetering van de informatiebeveiliging.

Controls van Merchant
Informatiebeveiliging valt of staat bij hoe de gebruikers er mee om gaan. Om er dus voor te zorgen dat de Planning & Control cyclus effectief is zal er ook sturing moeten plaats vinden, dit kan goed door gebruik te maken van de controls van Merchant.
Om richting te geven aan de gebruikers gebruikt Merchant de volgende objecten: Action controls, Result controls en Personal & Cultural controls. Met name de Result controls en de Personnel & Cultural controls zijn van toepassing voor het management van aXtion aangezien de Action controls meer gericht zijn op het fysieke deel van de beveiliging.

De ‘lack of direction’, ‘motivational problems’ en de ‘personal limitations’ zijn vaak onderdelen waarop het invoeren van nieuwe beleid misloopt. Als management is het hierin belangrijk om sturing te geven, belanghebbenden hun doelen gelijk te trekken met die van de organisatie en om het juiste personeel voor de juiste taak te krijgen.
Result controls
Bij Result controls is het vooral gericht op het be��nvloeden van de medewerkers door goede bijdrage aan de resultaten te belonen en negatieve bijdrage te bestraffen. Hierdoor is het voor de medewerkers duidelijk welke bijdrage belangrijk is en dit zorgt voor motivatie om deze uit te voeren aangezien ze weten dat dit beloond wordt.

Personnel & Cultural controls
De personele en culturele controls zijn gebaseerd op normen en waarden die op iedereen binnen de organisatie van toepassing zijn. Hierdoor ontstaat een vorm van zelf en sociale controle op de naleving van de normen en waarden. Deze controls zijn het laatste stukje van de puzzel, wat niet opgevuld kan worden door de Action en Result controls kan worden ingevuld door deze controls.
De manieren om deze controls in te vullen zijn; selectie, training en het inrichten van werk.
Het gaat hier om de selectie van de juiste mensen voor het juiste werk en daarnaast het cre��ren van een goede werkomgeving.

About Essay Marketplace

Essay Marketplace is a library of essays for your personal use as examples to help you write better work.

...(download the rest of the essay above)

About this essay:

This essay was submitted to us by a student in order to help you with your studies.

If you use part of this page in your own work, you need to provide a citation, as follows:

Essay Marketplace, In dit hoofdstuk is de uitwerking van deelvraag 1: “Wat is informatiebeveiliging?” te vinden. In de uitwerking van deze deelvraag is te vinden wat er in dit onderzoek verstaan wordt onder informatiebeveiliging.. Available from:<https://www.essaymarketplace.com/dutch-essays/in-dit-hoofdstuk-is-de-uitwerking-van-deelvraag-1-wat-is-informatiebeveiliging-te-vinden-in-de-uitwerking-van-deze-deelvraag-is-te-vinden-wat-er-in-dit-onderzoek-verstaan-wordt-onder-informatiebe/> [Accessed 10-07-20].

Review this essay:

Please note that the above text is only a preview of this essay.

Name
Email
Review Title
Rating
Review Content

Latest reviews:

Leave a Comment

Time limit is exhausted. Please reload the CAPTCHA.