Sarbanes-Oxley Act ofwel SOX heeft een grote impact op het management van ICT.

U wilt toch ook uw ICT op orde hebben? De fundamentele vragen die het ICT management worden gesteld zijn:

Heeft u een policy?
Kunt u aantonen dat u deze policy naleeft en onder controle heeft?
Hoe onderhoudt u de policy?
Hoe rapporteert u afwijkingen in de policy?
Hoe zijn de escalatiekanalen?
Kunt u bij vermeend misbruik teruggrijpen op forensic data?
Hoe worden ICT investeringen gemanaged?
Hoe wordt de algehele ICT boekhouding uitgevoerd?
De relatie tussen ICT investeringen en SOX
ICT middelen worden steeds meer een kritisch productiemiddel binnen organisaties. Een onjuiste werking of falen van deze ICT productiemiddelen heeft grote gevolgen. Grote ICT investeringen zijn een risico voor de aandeelhouderswaarde van een bedrijf en dienen ook als zodanig behandeld te worden. Alle ICT investeringen hebben dus direct een relatie met Sarbanes-Oxley.

Bij bedrijven die veel in IT investeren kunnen de aandeelhouders zich de vraag stellen of zijn hier in een traditioneel bedrijf of in een IT-bedrijf investeren.

SOX Section 404 impact, de SOX Section 404 ICT impact op ICT management
Met name SOX Section 404 compliance wordt vertaald in de opzet, een verscherping en de periodieke toetsing van de volgende aandachtsgebieden:

SOX Section 404 Dataprotectie
SOX Section 404 Toegangscontrole
SOX Section 404 Documentatie
SOX Section 404 Scheiding van verantwoordelijkheden
SOX Section 404 Configuration Management
SOX Section 404 Change Management
SOX Section 404 Logging, log monitoring en log management
SOX Section 404 Periodieke vulnerability tests
SOX Section 404 ICT Security Eventlog management
SOX Section 404 Vastleggen van base-line gebruik en detectie van afwijkingen
SOX Section 404 Vastleggen van gebruik voor forensic onderzoek
SOX Section 404 Rapportages met drill down. Policy rapportages ondersteunen bij de compliance volgens SOX, HIPPA, CISP en uw bedrijfregelgeving.
SOX Section 404 ICT Security Audits
SOX Section 404 Risicoanalyses
SOX Section 404 Business Continuity en Disaster Recovery Planning
SOX Section 404 Informatiebeveiliging
SOX Section 404 Projectmanagement
SOX Section 404 Budgetmanagement

2Staff heeft de SOX specialisten die u graag ondersteunen uw SOX Section 404 compliance op orde te brengen.

doordacht beveiligingsbeleid

De voortschrijdende ontwikkeling van de IT architectuur roept steeds dringender
vragen over informatiebeveiliging op. Hoe gaan we om met externe toegang tot ons
interne netwerk voor ‘thuiswerkers’? Hoe goed en betrouwbaar is onze backup procedure?
Zijn financiële gegevens alleen toegankelijk voor geautoriseerd personeel? Uit
verschillende onderzoeken blijkt dat het vooral het MKB is waar de meeste schade
ontstaat door gebrekkige beveiliging.
Een doordacht beveiligingsbeleid komt tot stand door het nevenstaand proces.
Kerntaken daarin zijn:
■ informatiebeveiligingsbeleid
evalueren
■ bedrijfsrisico’s inschatten
■ beveiligingseisen bepalen
■ verantwoordelijkheden
verdelen
■ maatregelen treffen
2Staff kan u hierbij van dienst zijn. Uit eigen ervaring met onze klanten destilleerden
wij de drie sleutelwoorden voor een goed beveiligingsbeleid: vertrouwelijkheid, integriteit
en beschikbaarheid van bedrijfsdata.
Als startpunt raden wij u aan om een Security Quick Scan uit te laten voeren. Dit is
een objectieve nulmeting, waarbij onder meer fysieke beveiliging, bestandbeveiliging,
backup strategie, data recovery, incident response, netwerk beveiliging en user administration
aan bod komen. Deze scan, in twee onderdelen, levert u een risico analyse
van waaruit de directe aandachtspunten boven water komen.
Het eerste onderdeel van de Security Quick Scan is de netwerk scan. Hierbij worden
essentiële netwerkonderdelen doorgelicht en getest worden op mogelijke zwakke plekken.
Een scan moet zich niet beperken tot technische constateringen, maar moet bijdragen
aan een inzicht in het security gedrag van systemen en gebruikers. Vandaar
dat er ook een policy scan wordt gedaan, het tweede onderdeel, waaruit duidelijk
wordt welk security beleid er gevoerd wordt en welke procedures er zijn bij het oplossen
van security calamiteiten. De scan beslaat 4 dagdelen waarvan 2 op lokatie.
Met Security Coaching kunnen wij voor, tijdens en na een security traject u en uw
medewerkers bewust maken van de problematiek en de mogelijke consequenties. Wij
verzorgen bijv. informatiebijeenkomsten waarbij de voor uw onderneming belangrijke
issues aan bod komen.
Uiteindelijk kunnen wij door middel van Periodieke Audits het security-niveau van verschillende
bedrijfsprocessen blijvend controleren.
Heeft u vragen of wilt u meer informatie? Bezoek onze website of bel ons.
Wij gaan in onze werkwijze uit van de Code voor Informatiebeveiliging, welke
gebaseerd is op de Britse norm BS 7799. De Nederlandse versie is tot stand
gekomen onder supervisie van het NEN. De Code is een leidraad voor praktische
informatiebeveiliging en richt zich op managers en werknemers die verantwoordelijk
zijn voor het opzetten, implementeren en onderhouden van de informatiebeveiliging in
hun bedrijf.
Om de juiste vertaalslag te kunnen maken van deze leidraad naar uw onderneming en
samen met u de nodige acties vast te stellen, kan 2Staff u door dit traject leiden
en het project management voor zijn rekening nemen.