Wat zegt certificatie ? Dat je netwerk veilig is?
Het garandeerd geen 100% veiligheid en dan alleen maar tot
het moment van certificering.
Nee, het is verstandiger om of zelf een beveiligingscursus
te nemen (en bij te houden) of iemand/een bedrijf hiervoor
(periodiek) in te schakelen.

Hoi Sylvester,

Als je certificatie goed is ingericht dan neem je in je
plannen op dat je de maatregelen bijvoorbeeld jaarlijks,
maandelijks bekijkt, reviewed. Het is net als elk ander
kwaliteitssysteem meer een methodiek om het eea in kaart en
in de greep te houden. Tijdens zo'n traject wordt je met de
neus op de feiten gedrukt als er hier en daar iets niet
schort. Je hebt helemaal gelijk 100% kan ook niet, maar je
weet dan wel waar je grootste risico ligt. Dit is dan ook
het belangrijkste inzicht in de risico's. Verder zal je in
zo'n traject ook awereness cursussen voor de medewerkers
moeten organiseren.

Verder leek mijn vraag duidelijk, jammer dat je een losse
flodder schreef. Ben het met je eens dat je misschien een
bedrijf moet inhuren, maar wat zegt dat.... en ja ik ga
mezelf wat meer verdiepen in informatie beveiliging.
Misschien dat er zelfs al wel het eea vanaf weet......

Jos

Jos, zelf weet ik hier nauwelijks iets van, maar onder een column van Peter Rietveld staat een discussie over dit onderwerp waar je misschien wat aan hebt: http://www.security.nl/article/14656/1.

Vooral het standpunt van 'fubar' (Carlo Seddaiu) op vrijdag 20 oktober 2006 15:45 sprak me aan. Daar staat tegenover dat kleinere bedrijven zich natuurlijk niet op elk vlak specialisten kunnen permitteren of dure jongens inhuren. Een snelle blik op de site van het bedrijf waar Carlo werkt lijkt erop te wijzen dat zij ook opleiden (ik weet verder niets van dat bedrijf, of andere in die 'Rietveld-thread' genoemde certificeringen en/of bedrijven).

SANS is niet meer strikt USA, in maart komen 'ze' naar Denemarken zoals je hier kunt lezen: http://www.sans.org/copenhagen07/?ref=2891 (maar ik kan me niet voorstellen dat er in NL geen goede opleiders zouden zijn).

Mocht je nog niet meteen willen certificeren maar wel wat handvaten zoeken dan zou je eens op de site van de PCI (Payment Card Industry, waarin o.a. Visa en American Express zijn vertegenwoordigd) kunnen kijken. Daar staan richtlijnen en eisen waaraan je netwerk en procedures moeten voldoen om met credit card gegevens om te mogen gaan, zie https://www.pcisecuritystandards.org/about/faqs.htm#q15, en de DSS (Data Security Standard) PDF kun je via deze pagina downloaden: https://www.pcisecuritystandards.org/tech/download_the_pci_dss.htm

Advies:

Laat een betrouwbare externe partij een inventarisatie van
de security behoefte doen. Deze kan adviseren of een
volledige certificering wenselijk is.

Als er geen noodzaak vanuit de business is, zal
certificering nooit aangeraden worden, voornamelijk omdat
het erg duur is, veel tijd kost en weinig toevoegt aan de
werkelijke beveiliging van het netwerk.

Certificeringen zijn noodzakelijk als je een financiele
instelling bent, overheid als opdrachtgever hebt, genoteerd
bent aan de NYSE en nog een paar situaties.

Als de directie zich wil indekken is het handiger een goede
penetratietest periodoek uit te laten voeren en een goed
security beleid op te stellen. En misschien iemand aannemen
die wel een gedegen achtergrond in InfoSec heeft :-)

Maar het antwoord op jouw vraag:
Bepaal welke certificering of normering voot jullie
organisatie van toepassing is. Benader een partij die voor
deze standaard mag certificeren (bv KPMG, E&Y, KEMA, TNO
...) en ga kijken hoe je het in wilt vullen.

LET OP!
Veel security bedrijven noemen iso-17799 in hun
verkooppraatjes, maar dat betekent alleen dat hun werkwijze
aansluit bij deze standaard. Je kunt natuurlijk wel zo'n
partij jullie security in laten richten en dit later laten
toetsen dmv certificering (bv. met een boeteclausule).
Vertel niet te vroeg dat je dit van plan bent, ander
verdubbelen de prijzen.

Erik, Anoniem,

Bedankt voor de info,
Ja we doen zaken met overheid, banken, en ik denk dat het
niet lang zal duren voordat deze partijen eisen gaan stellen
aan ons beleid... ik snap dat certificering niet direct
hoeft bij te dragen aan de daadwerkelijke veiligheid.
Ik ga ermee aan de slag

Zo'n losse vlodder is het blijkbaar toch niet helemaal... je
wordt er iig door gestimuleerd om zelf onderzoek te gaan
doen. Tuurlijk zegt certificatie wel wat, maar het ligt
uiteindelijk bij het bedrijf zelf, laat staan de medewerkers.
Medewerkers en de IT baas binnen het bedrijf,
dienen verantwoordelijk met hun it/security om te gaan. Daar
ligt vaak het grootste probleem. Certificatie zegt niets
over het gebruik van en door de medewerkers en daar ligt
vaak de pijn. Certificatie is niets meer dan een methode met richtlijnen en
een resulterende vraagstuk van voldoet jouw bedrijf hieraan. het genereerd of heeft een standaard checklijst. En al deze dingen kun je zelf, na zelf
te hebben onderzocht/gestudeerd, wel op komen. Dan snijdt het mes aan 2
kanten, jouw bedrijf wordt veiliger en jij weet weer meer (wat je uiteraard bij dient te houden). Echter als jouw intresse, want dat is wel een vereiste, daar niet liggen, of je er geen tijd voor hebt moet je het extern zoeken.
Al met al is het geen slecht idee een bedrijf in eerste
instantie hiervoor in te huren en laat hun dan periodiek als
klankbord fungeren.

suc6

Als je wilt gaan certificeren zijn er twee opties:

1) De hele organisatie laten certificeren.

2) De speficieke klantoplossing laten certificeren.

Optie 1 is rendabel als er meerdere partijen certificering
van jullie eisen. Dit betekent dat jullie de hele
organisatie laten certificeren en voor iedere klant een meer
beperkte specifieke certificering laten doen.

Optie 2 heeft de voorkeur als je 1 of 2 klanten hebt die
certificering eisen. Je gaat dan voor iedere klant ook een
gedeelte van de orgaanisatie laten certificeren.

Zoals je zelf aangeeft heb je Banken en Overheid als
klanten, denk dan goed na over de certificering die je wilt
gaan doen. Iedere sector heeft zijn eigen normen.

Suc6

Anoniem,

>Als je wilt gaan certificeren zijn er twee opties:

Goed punt, zal ik ook meenemen.

Sylvester, helemaal met je eens. Losse flodder had ik
ingebracht om dat je geen antwoordt gaf op de vraag die ik
stelde, maar de discussie is erg goed. Ik heb al veel meer
dan ik op rekende. Blijft nog steeds de vraag waar kan ik
allemaal voor certificeren? Ik zal tzt even een overzichtje
maken, ik denk dat het wel handig is....

mvg
jos

Certificering is alleen rendabel als het echt een eis is van
de klant. (en geen wens)