Deze workshop start om 13u. Daarvoor (12u00) is er een broodjeslunch. Tussendoor zijn er pauzes met versnaperingen, koffie, thee, ...

Programma

Deze sessie tracht een stevige uiteenzetting te bieden omtrent de wereld van security certificatie. Onderstaande punten dienen als leidraad tot het brengen van inhoud, maar vooral tot het opzetten van een gesprek met de deelnemers. Het wordt dus een heel interactieve sessie!

1. Wat?

• Wat is een audit? Wat is een norm? Wat is een auditeerbare norm?
• Welke zijn de meest gangbare normen?
• Wat is certificatie? Wat is accreditatie? Wat is geaccrediteerde certificatie?
• Is het nu certifiëren of certificeren, gecertifieerd of gecertificeerd, (en) certified or certificated?
• Wat wordt gecertificeerd?
• Producten? Diensten? Processen? Mensen? Management?
• Wat is “information security”?
• Wat is “information security management”?
• Wat is een “information security management systeem” (ISMS)?
• Wat zijn “good practices” voor een management systeem?
• Wat is effectiviteit?

2. Waarom?

• Wat is de waarde van certificatie? Is er een business case?
• Waar staat een organisatie voor? Wat is de missie?
• Wie zijn betrokken partijen, en wat verwachten die?
• Wat met wet- en regelgeving en contractuele verbintenissen? GDPR? NIS(2)?
• Welke informatie stroomt er door de organisatie? Wat wordt er uitgewisseld met andere organisaties?
• Waarop worden leiders afgerekend?
• Wat is een (goed) beleid, en wat is een (goed) informatiebeveiligingsbeleid?
• Een strategie? Een (smart) objectief? Projectplan? Regels? Budgetallocatie?
• Wat is “(information) governance”? Wie is verantwoordelijk, wie heeft de bevoegdheden en wie weet van (n)iets?
• Wat is effectiviteit?

3. Hoe?

• Doelen van de organisatie én doelen voor informatieveiligheid, “alignment”.
• Wat is risk appetite? Cruise control op 120 of een Porsche?
• Wat kan er fout gaan? Wat zijn risico’s? Wat zijn kansen?
• Wat weet management?
• Information security & risk management
• Wat is informatie en wat is waarde van informatie?
• Wat zijn zwakheden, bedreigingen, waarschijnlijkheid en impact?
• Wat zijn maatregelen, “controls” of beheersmaatregelen?
• Wat is restrisico, en is het ooit veilig genoeg?
• Wanneer projecten en wanneer processen?
• Wat zijn de basisingrediënten? Welk speelgoed hebben we al?
• Heeft een papieren tijger enige waarde?
• Gedocumenteerde informatie? Wat? Waarom? Hoe?
• Welke triggers, waarom agenda’s en laten we sporen na?
• Is meten weten? En hoe meten we veiligheid?
• Waarom en hoe interne audits inrichten?
• Terug naar de top?
• Wat is effectiviteit?

4. Alles kan beter, vooral het verbeteren

• Wat als het fout loopt?
• Oorzaken, reageren of anticiperen?
• De five why’s, of een (on)voorzienbare samenloop van omstandigheden?
• Wat is effectiviteit?

5. “Good practices”

• ISO 27001 en kunstwerken met verschillende lagen.
• ISO 27002 en de ellenlange lijst van controls.
• De huidige en aankomende editie: Controls en “purpose”?
• Gevraagd: Klankbord (m/v/x)
• Andere raamwerken (Cobit, NIST, PCI-DSS, FedRamp, …)

6. Stof tot nadenken

• Moet elke control echt door een risico verantwoord zijn?
• Zijn er maatregelen die géén nieuwe risico’s met zich meebrengen?
• Wat zijn de belangrijkste risico’s?

Over de docent

Koenraad Béroudiaux werkt als certificatie-auditor voor o.a. BSI (British Standard Institution) in het domein van managementsystemen voor Informatieveiligheid, bedrijfscontinuïteit, verwerking van persoonlijke gegevens en kwaliteit. Zijn ervaring met de norm ISO 27001:2013 gaat terug tot … 2013. Hij heeft er meer dan 500 audits opzitten bij organisatie-groottes van 3 tot meer dan 3000 mensen, over gans Europa en verder. Daarnaast is hij ook accreditatie-auditor voor Belac en expert in het ISO comité JTC 1/SC 27/WG 1 , waar hij de ontwikkelingen rond de nieuwe versie van de norm van nabij volgt.

Koenraad woont in Antwerpen, is 57 jaar, heeft in 2010 het audit beroep gekozen na meer dan 25 jaar ervaring in complexe IT-projecten in financiële, industriële en overheidsbedrijven. Hij heeft diploma’s in de specialiteiten accounting & finance, operations management en audit, en heeft daarnaast ook verschillende populaire certificaten behaald.