Informatie beveiliging

Wat is nu het belang van het organiseren van Informatie Beveiliging (IB)? Een vraag die ik regelmatig ontvang omdat bij de termen “Informatie Beveiliging” iedereen eigen ideeën of beelden heeft. Wat als de  verantwoordelijkheden, procedures en instrumenten van informatiebeveiliging niet expliciet zijn belegd? Het verhindert de daadwerkelijke uitvoering om uw informatie te beveiligen en dat beheermaatregelen binnen uw organisatie zijn geborgd.

Aan de hand van een informatie risico analyse wordt het Informatie Beveiligingsbeleid voor uw organisatie opgemaakt. Dit document past bij de fase waarin de organisatie zich bevindt en kan meegroeien met de ontwikkeling die uw bedrijf strategisch wil maken. Hiermee ontstaat duidelijkheid welk belang de organisatie hecht aan informatiebeveiliging en geeft dat richting voor directie, management en medewerkers. Het ondersteunt de directie in de éénduidige boodschap die men verkondigt over het belang van informatiebeveiliging

Om te kunnen bepalen welke beveiligingsmaatregelen moeten worden getroffen t.a.v. processen en informatiesystemen worden beveiligingsclassificaties gebruikt. Classificatie maakt het vereiste beschermingsniveau zichtbaar en maakt direct duidelijk welke maatregelen nodig zijn. Er wordt geclassificeerd op drie betrouwbaarheidsaspecten van informatie: Beschikbaarheid, Integriteit en Vertrouwelijkheid(BIV).

Er zijn drie beschermingsniveaus van laag naar hoog. Daarnaast is er nog een niveau ‘geen’. Dit niveau geeft aan dat er geen beschermingseisen worden gesteld, bijvoorbeeld omdat informatie openbaar is.

De te nemen maatregelen moeten worden afgestemd op de risico’s, waarbij rekening dient te worden gehouden met technische mogelijkheden en de kosten van maatregelen. Dit is vaak situatie afhankelijk.

Naarmate de gegevens een gevoeliger karakter hebben, of gezien de context waarin ze gebruikt worden een groter risico inhouden, dienen zwaardere eisen aan de beveiliging van die gegevens te worden gesteld.

Ter bescherming van Informatie Beveiliging vraagt dit ook beheermaatregelen voor uw werknemers, ingehuurd personeel en externe gebruikers. Zij hebben instructie en informatie nodig om hun verantwoordelijkheden te begrijpen om het risico van diefstal, fraude of misbruik te  verminderen. Aan de hand van het CV en een persoonlijke gesprek vindt er een beoordeling plaats of de persoon geschikt voor de rol/functie.

De risico’s worden nogal eens goedertrouw onderschat. Veel incidenten in de informatie beveiliging ontstaan door menselijk falen, communicatie problemen of misvattingen over taken en afspraken. Deze hebben vervolgens enorme invloed op de beschikbaarheid, integriteit en vertrouwelijkheid van bedrijfsinformatie en de bescherming van persoonsgegevens.

Wat kunnen uw risico’s zijn? Geen continuïteitsplanning,  gebrek aan scherpte in de bedrijfscultuur, of medewerkers spreken elkaar onvoldoende aan op gemaakte afspraken?

Bedrijfscontinuïteit gaat over de kans van onderbreken van bedrijfsactiviteiten en tijdig herstel in geval van een incident. Niet alles is te voorkomen maar er zijn wel maatregelen die grote financiële schades of reputatie schade kunnen beperken. Onderzoek wat u voor uw organisatie effectieve beheermaatregelen zijn.

Jaarlijkse oefening of testen zijn nodig om de BCM actueel en medewerkers scherp te houden. Aan de hand van de resultaten uit de oefening of test worden de plannen bijgesteld en medewerkers bijgeschoold. 

Hoe ziet het continuïteitsplan van uw organisatie eruit?

Het ISO 27002 certificaat is het bewijs dat uw organisatie de nodige voorzorgsmaatregelen heeft genomen om gevoelige informatie te beschermen tegen ongeautoriseerde toegang en bewerking. De norm staat voor een procesmatige aanpak voor het vaststellen, implementeren, uitvoeren, bewaken, onderhouden en verbeteren van informatiebeveiliging op basis van een Information Security Management System. U geeft met ISO 27001 certificering richting uw opdrachtgevers aan dat u het informatieproces beheerst en gegevens van uw opdrachtgevers goed heeft beveiligd.

Voor de zorgsector is de norm NEN 7510 / NEN 7511 van toepassing. Met Outsourcing neemt elk jaar maar hoe borg je dat? Met ISAE 3402 gaat u voldoen aan de assurance standaard voor het outsourcen van financiële systemen of services. Een certificering die steeds wordt gevraagd door opdrachtgevers.

Voor een effectieve security van kantoor en werkomgeving is het voorkomen van onbevoegde fysieke toegang van belang. Schade aan of verstoring van het terrein en de informatie van de organisatie, bedrijfsmiddelen en onderbreking van de bedrijfsactiviteiten kan leiden tot financiële schade en reputatie risico.

De ICT-voorzieningen, die kritieke of gevoelige bedrijfsactiviteiten ondersteunen, behoren fysiek te worden ondergebracht in beveiligde ruimten. De beveiligde gebieden dienen afdoende zijn beveiligd met geschikte beveiligingsbarrières en toegangsbeveiliging. Ze behoren fysiek te worden beschermd tegen toegang door onbevoegden, schade en storingen.

Weet u welke maatregelen zijn genomen voor het voorkomen van verlies, schade of diefstal van apparatuur?