informatiebeveiliging

Informatiebeveiliging

Ieder bedrijf moet ‘iets’ met informatiebeveiliging. Al is het maar vanwege de wet- en regelgeving waaraan je moet voldoen. Maar ook organisaties zelf hebben belang bij een gedegen security. Waarom dat zo is, wat we verstaan onder informatiebeveiliging en de antwoorden op andere veel gestelde vragen over dit onderwerp lees je op deze pagina.

1

Definitie informatiebeveiliging

Het woord ‘informatiebeveiliging’ is (nog) niet opgenomen in de Van Dale. Wikipedia geeft deze definitie:

“Informatiebeveiliging is het geheel van preventieve , detectieve, repressieve en correctieve maatregelen alsmede procedures en processen die de beschikbaarheid, exclusiviteit en integriteit van alle vormen van informatie binnen een organisatie of een maatschappij garanderen, met als doel de continuïteit van de informatie en de informatievoorziening te waarborgen en de eventuele gevolgen van beveiligingsincidenten tot een acceptabel, vooraf bepaald niveau te beperken.”

2

Wat is informatiebeveiliging?

De definitie hierboven is compleet, maar niet voor iedereen heel duidelijk. Het begrip ‘informatiebeveiliging’ wordt duidelijker wanneer je het opsplitst.

  • Onder ‘informatie’ verstaan we (onder andere) persoonsgegevens, intellectueel eigendom, bedrijfsgevoelige informatie, of informatie van je klanten en relaties.
  • Met informatiebeveiliging wil een organisatie ongewenste toegang tót en daarnaast de verwerking en vernietiging ván informatie voorkomen.
  • Daarnaast willen organisaties ook de gevolgen van een mogelijk datalek minimaliseren.
  • Dit is een combinatie van beleid, procedures en maatregelen.

De beveiliging van informatie bereik je doordat je op een bepaalde manier met de informatie omgaat. Dat doe je bijvoorbeeld, doordat je hierover afspraken maakt en de processen borgt, waarbij software je kan ondersteunen. Op die manier beperk je de risico’s tot een acceptabel niveau.

Dit doe je om verschillende redenen die je kunt nalezen onder de kop Waarom informatiebeveiliging, verder op deze pagina.

3

Waarom informatiebeveiliging?

Goede informatiebeveiliging kost tijd, moeite en dus geld. Toch zijn veel bedrijven hier serieus mee bezig. Waarom?

  • Wet- en regelgeving
Er zijn bepaalde standaarden waaraan ieder bedrijf in Nederland moet voldoen. Zo gelden er bijvoorbeeld verschillende bewaartermijnen voor financiële stukken en personeelsdocumenten. Sinds 2018 moeten we ons ook houden aan de Algemene Verordening Gegevensbescherming (AVG), die onze persoonsgegevens beschermt. Verderop in de tekst lees je verder over de AVG onder de kop Informatiebeveiliging en AVG.

  • Professionele belang richting klanten en partners

De digitale communicatie en samenwerking tussen organisaties onderling en met consumenten gaat steeds verder. Als gevolg hiervan geven organisaties steeds vaker toegang tot systemen - en dus tot informatie – aan medewerkers van andere organisaties en aan consumenten.

Het is voor partners en klanten van die organisatie belangrijk dat die informatietoegang- en uitwisseling op een veilige manier plaatsvindt. Is dat niet zo, dan is er immers kans op een lek in je beveiliging: een data-lek. Dit willen bedrijven voorkomen. Niet alleen omdat dit directe financiële gevolgen kan hebben, ook zorgt een datalek voor imago-schade.

Om die reden zoeken steeds meer organisaties garanties dat partners en andere relaties op een veilige manier met hun informatie omgaan. Dat kan onder andere door certificering. De meest bekende hiervan is de ISO 27001 certificering. Onder het kopje Informatiebeveiliging, ISO 27001 normering en andere certificering verderop in de tekst lees je hier verder over.

  • Informatie is geld waard

Of het nu gaat om je boekhouding, intellectueel eigendom, je klantenbestand, of je planning: deze informatie is belangrijk voor je organisatie. Je wilt niet dat dit ‘op straat’ ligt, in verkeerde handen komt, wordt gegijzeld via ransomware, of dat je deze informatie kwijtraakt. Het zou veel tijd en geld kosten om dat te herstellen, áls het al te herstellen is. Deze informatie is dus waardevol voor een organisatie. Ook daarom is informatiebeveiliging belangrijk.

Wil je meer weten over ransomware, lees dan verder onder de kop ‘Wat zijn de meest voorkomende vormen van cyber crime?’, verderop in de tekst

 

4

Wat is het (voornaamste) doel van informatiebeveiliging?

Met informatiebeveiliging wil je voorkomen dat er ongewenste dingen gebeuren met je bedrijfsinformatie en daarnaast de mogelijke gevolgen beperken, voor het geval toch iets misgaat.

Onder de kop Waarom informatiebeveiliging lees je waarom organisaties dit belangrijk vinden.

5

Wat zijn de meest voorkomende vormen van cyber crime?

Er zijn verschillende manieren waarop cyber criminelen opereren. Hieronder staan enkele veel voorkomende:

  • Phishing

Bij phishing ‘vist’ de cyber crimineel naar informatie, zoals bijvoorbeeld inlogcodes, of wachtwoorden. Dit gebeurt op een slimme manier: (schijnbaar) vanuit een afzender die je vertrouwt krijgen je een mail dat er een probleem is, of een speciale reden met de vraag of je jouw wachtwoord wilt invoeren. Soms voegen ze ook een invulveld toe, om het nog realistischer en betrouwbaarder te doen overkomen.

Omdat je de afzender kent en de mail er betrouwbaar uitziet, kan het zijn dat je niet doorhebt dat de mail van een cyber crimineel komt. Wanneer je vervolgens jouw wachtwoord, of inlogcode deelt, kunnen zij onbeperkt bij jouw informatie, of zelf bankrekening komen.

  • Malware
Malware is een samenvoeging van ‘malafide’ en ‘software’. Natuurlijk zet je deze schadelijke software niet bewust op je computer. Cyber criminelen verstoppen de software bijvoorbeeld in een phishing mail, of op een website. Vaak wordt iets aantrekkelijks beloofd, waarvoor je bijvoorbeeld op een button moet klikken. Ongemerkt installeer je met deze klik schadelijke software op je computer, waarmee de hacker bij jouw gegevens kan komen.

Net zoals bij fishing, proberen cyber criminelen op deze manier achter wachtwoorden en inlogcodes te komen. Zonder de juiste informatiebeveiliging in de vorm van detectiesoftware heb je malware vaak niet door en kan de hacker ongestoord bij jouw gegevens.

  • Ransomware

Ransomware is een samenvoeging van ‘ransom’ (losgeld) en ‘software’. Ransomware is een speciale vorm van malware.

Met ransomware verschaft de hacker zichzelf toegang tot je bestanden en zorgt ervoor dat je hier zelf niet meer bij kunt. Dit kunnen privé foto’s en filmpjes zijn, maar ook bedrijfsinformatie. Vervolgens vragen ze losgeld in ruil voor toegang tot jouw eigen bestanden. Zelfs als je dit betaalt zie je in de praktijk je bestanden vaak niet terug.

6

Wat hebben cyber crime en cyber security met informatieveiliging te maken?

Informatie is (veel) geld waard. Voor jou als organisatie en in bepaalde gevallen ook voor anderen. Hiermee heb je meteen antwoord op de vraag waarom cyber criminelen hiervoor moeite willen doen. Cyber crime en cyber security zijn om die reden belangrijke thema’s wanneer je als organisatie de informatiebeveiliging op orde wilt krijgen.

7

Wat is moeilijk aan digitale informatie beveiligen?

Fysiek waardevolle zaken berg je aan het einde van de werkdag op in een kluis, of afgesloten kast. Kamerdeuren en kantoren gaan aan het einde van de dag op slot. Digitale informatie moet je op een andere manier beschermen.

Het wordt lastiger nu steeds meer mensen thuiswerken, vaak vanuit verschillende devices (zoals mobiel, laptop, of tablet). Informatie moet dan ook online, altijd en overal bereikbaar zijn. Dit vraagt om een andere aanpak; je kunt je digitale omgeving hierdoor immers niet op dezelfde wijze afsluiten, zoals je dat met een kluis zou doen.

Dit is het spanningsveld binnen informatiebeveiliging anno nu: je wilt medewerkers en externen eenvoudig en gebruiksvriendelijk toegang geven tot de bestanden en documenten die zij nodig hebben. Tegelijk wil je de informatie op een degelijke manier beveiligen.

8

Informatiebeveiliging bewustzijn

Met het installeren van software en het opstellen van procedures ben je er zeker niet. Het is cruciaal dat je draagvlak creëert en dat iedereen binnen de organisatie doordrongen is van het belang van informatiebeveiliging en wat dit in de praktijk betekent. Informatiebeveiliging is daarmee niet slechts een ‘taak van de IT-afdeling’. Goede informatiebeveiliging is ingebed in de bedrijfscultuur en wordt gedragen door de directie.

Immers, wanneer je het belang begrijpt van een beveiligingsmaatregel, dan is het veel gemakkelijker om je hieraan te houden. Ook al kost het je wat moeite. Ook neemt mogelijke onvrede over maatregelen af wanneer het duidelijk is waaróm iets op een bepaalde manier gebeurt.

Denk aan een eenvoudige maatregel zoals het afsluiten van je beeldscherm als je je werkplek verlaat. Veel mensen vinden dit vervelend. Maar begrijpen ze waarom dit nodig is, dan is het al veel minder een probleem.

Verder kunnen medewerkers uit onwetendheid vergissingen maken. Zoals bijvoorbeeld automatisch aangemeld blijven en werken met een laptop zonder wachtwoord, waardoor derden moeiteloos bij gevoelige informatie kunnen komen. Of informatie op een USB-stick zetten en deze gebruiken buiten de organisatie, waardoor informatie onbedoeld ‘op straat komt te liggen’. Het helpt als je begrijpt waarom dit onverstandig is.

Daarbij is het ook belangrijk dat de maatregelen passend zijn. De IT-omgeving van je organisatie ‘dichttimmeren’ lijkt aantrekkelijk (want dat voelt veilig), maar zorgt mogelijk voor te weinig flexibiliteit, waardoor gebruikers zich eerder zullen afzetten tegen de beveiligingsmaatregelen. Zorg dus voor de juiste IT-beveiliging, op de juiste plekken en niet meer dan dat. Specialisten kunnen je helpen bij het opstellen van een plan voor je informatiebeveiliging. Zoek een partij met ervaring die je kan helpen bij het implementeren van de maatregelen binnen je organisatie.

9

Informatiebeveiliging, ISO 27001 normering en andere certificering

Er zijn verschillende certificaten waarmee je laat zien dat je organisatie de informatiebeveiliging op orde heeft. Binnen het bedrijfsleven is de ISO 27001 het bekendst. Met deze ISO-certificering toon je aan, dat je informatiebeveiliging aan de ISO-normen voldoet. Overheden moeten voldoen aan een standaard die mede gebaseerd is op de ISO 27001: de Baseline Informatiebeveiliging Overheid (BIO).

Er zijn nog meer normen en andere manieren waarmee je kunt aantonen dat je organisatie goed beveiligt. Welke normen belangrijk zijn voor jouw organisatie hangt af van verschillende factoren, waaronder de branche, wie je klanten zijn en of je nationaal of internationaal werkt.

Wil je als organisatie aan de eisen van een standaard voldoen, dan kan dat op verschillende manieren. Een gestructureerde manier is het behalen van punten voor de beveiligingsmaatregelen die je als organisatie neemt of al hebt genomen. Dit is een werkwijze die Microsoft 365 hanteert en waarmee je werkt als een ‘afvinklijst’. Een specialist kan je helpen bij dit proces: samen bepaal je welke acties toegevoegde waarde en prioriteit hebben, waar de organisatie nu staat op het gebied van informatiebeveiliging, wat er nog nodig is en wat een reëel tijdpad is voor het behalen van je doelen. Voor sommige organisaties is dit een vlot proces, andere organisaties trekken hier enkele jaren voor uit. Dit hangt af van veel factoren, zoals onder andere de huidige status van informatiebeveiliging, de motivatie en de kennis van de medewerkers.

10

Informatiebeveiliging en AVG

Er is veel wet- en regelgeving rond informatiebeveiliging. De meest bekende wet op dit gebied is de Algemene Verordening Gegevensbescherming (AVG). De AVG is sinds 2018 van kracht en helpt ons bij het beschermen van onze persoonsgegevens. Alle bedrijven in Nederland die beschikken óver en werken mét persoonsgegevens, moeten zich aan de AVG houden.

De AVG schrijft voor dat je als organisatie:

  • Niet meer informatie opvraagt dan noodzakelijk
  • Dat je deze informatie vervolgens niet langer bewaart dan nodig
  • Dat je bijhoudt welke informatie je verwerkt en met welk doel

Dit alleen is niet voldoende. Ook moet je als organisatie:

  • De veiligheidsrisico’s in kaart brengen
  • Maatregelen nemen om deze veiligheidsrisico’s te verkleinen.
  • Aantonen dat je de AVG naleeft

De overheid verwacht op dit gebied dus een actieve rol van bedrijven.

Om de AVG goed te kunnen naleven is bewustwording belangrijk. Je leest hierover onder het kopje Informatiebeveiliging bewustzijn op deze pagina. Daarnaast zijn procedures en richtlijnen noodzakelijk bij het goed naleven van de richtlijnen, evenals aandacht voor je IT-omgeving. Ook deze moet AVG proof zijn. Specialisten kunnen je hierbij helpen.

11

Wat zijn de verschillende thema's bij informatiebeveiliging?

Om de AVG goed te kunnen naleven is bewustwording belangrijk. Je leest hierover onder het kopje Informatiebeveiliging bewustzijn op deze pagina. Daarnaast zijn procedures en richtlijnen noodzakelijk bij het goed naleven van de richtlijnen, evenals aandacht voor je IT-omgeving. Ook deze moet AVG proof zijn. Specialisten kunnen je hierbij helpen.

  • Access control– Richt zich op de authenticatie en identificatie van de verschillende soorten gebruikers en beheerders. Met andere woorden: als organisatie wil je een veilige inlogprocedure. Onderdeel hiervan is dat je zekerheid moet hebben over wie zich aanmeldt en ook welk apparaat zich aanmeldt. 
  • Discover and respond – Richt zich op het ontdekken ván en het reageren óp inbreuken op de informatiebeveiliging. 
  • Information governance – Richt zich op het transparant, controleerbaar en veilig beheer van informatie binnen een organisatie. Een manier om dit te bereiken is het classificeren van informatie en het koppelen van de juiste mate van bescherming aan de informatiecategorieën. 
  • Compliance management– Richt zich op het naleven van de nieuwste wet- en regelgeving. Dit omvat het beheer rond het hele proces: van het identificeren van risico's in het bedrijfsproces, tot het nemen van maatregelen en de evaluaties hiervan.
  • Device management – Richt zich op de vereisten aan het beheer van de verschillende soorten apparaten waarmee men toegang kan krijgen tot informatie. Dus hoe zorg je dat je ook veilig kunt werken vanuit mobiel, tablet, of laptop?
  • Internal risk management – Richt zich op de identificatie en het inperken van belangrijke risico’s door eigen medewerkers. 
  • Threat protection – Richt zich op de preventie, de detectie, het onderzoeken en het reageren op externe bedreigingen. 
  • Information protection – Richt zich op het beheer van toegangsrechten, encryptie van gegevens en het voorkomen van datalekken. 
12

Wat zijn de drie principes van informatiebeveiliging?

De BIV Classificatie
Binnen de informatiebeveiliging hanteert men drie principes: Beschikbaarheid (B), Integriteit (I) en Vertrouwelijkheid (V). BIV is hiervan het acroniem. Voor het vaststellen van de mate van beveiliging kun je informatiesystemen, bedrijfsprocessen en gegevens volgens de BIV-indeling classificeren. Hoe hoger de score, hoe beter de beveiliging op orde is.

Beschikbaarheid (continuïteit)
Dit principe gaat over de beschikbaarheid en toegankelijkheid van gegevens en de mogelijke gevolgen wanneer deze informatie niet beschikbaar is.

Integriteit (betrouwbaarheid)
Dit principe gaat over de juistheid van de informatie en het beheer hiervan. Classificatie gebeurt op basis van de mogelijke gevolgen wanneer de informatie niet juist, actueel, of onvolledig is.

Vertrouwelijkheid (exclusiviteit)
Dit principe gaat over het afschermen van informatie en het verzorgen van bevoegdheden voor een vooraf bepaalde groep gerechtigden. Classificatie gebeurt op basis van de mogelijke gevolgen als de informatie niet goed beschermd is en deze in handen komt van derden.

In het Engels spreekt met van CIA triad, wat staat voor Confidentiality, integrity en Availability.
13

Wat zijn de onderdelen van een goede informatiebeveiliging?

Hiermee kun je verschillende dingen bedoelen. Bijvoorbeeld de BIV Classificatie. Hierover kun je elders in deze tekst lezen onder de kop Wat zijn de drie principes van informatiebeveiliging? De BIV Classificatie.

Soms bedoelt men hier de verschillende stappen of fasen mee van informatiebeveiliging. Er is niet één gulden standaard op dit gebied. De meeste stappenplannen omvatten de volgende fasen:

1. In kaart brengen huidige situatie
Dit kan bijvoorbeeld door middel van een quick scan, maar afhankelijk van de organisatie kan dit ook bestaan uit een (veel) breder onderzoek.

2. Plan opstellen
Doelstellingen bepalen, maatregelen plannen, tijdspad bepalen.

3. Maatregelen implementeren
Volgens plan de maatregelen uitrollen over de organisatie.

4. Evalueren
Wat werkt, wat niet? Is bijsturing nodig?

5. Indien nodig: bijsturen
Op basis van de bevindingen tijdens de evaluatie, kun je de maatregelen aanpassen. Deels volg je dan het stappenplan weer vanaf punt 1.

6. Borgen
Loopt alles, dan processen borgen.

14

Wie is verantwoordelijk voor informatiebeveiliging?

Informatiebeveiliging is belangrijk, het is een continu proces en het raakt (bijna) iedereen in bedrijven en andere organisaties. Het is dan ook niet gek dat het inmiddels een behoorlijke beroepsgroep is.

Het Platform voor Informatiebeveiliging (PViB) heeft de volgende vier beroepen geformuleerd binnen de informatiebeveiliging:

  • Chief Information Security Officer (CISO)
  • Information Security Officer (ISO)
  • ICT-beveiligingsmanager
  • ICT-beveiligingsspecialist

De niveaus verschillen van MBO 3 tot universitair niveau.

15

Informatiebeveiliging, welke rollen zijn er?

Naast deze geformuleerde beroepen zijn ook andere partijen intensief betrokken bij het proces rond informatiebeveiliging.

  • Aan de technische kant bijvoorbeeld de ICT-Manager.
  • De externe leveranciers die een rol spelen bij het adviseren, leveren, implementeren en beheren van de ICT.
  • Op het gebied van dagelijks management bijvoorbeeld de lijnmanagers.
  •  Strategisch gezien is ook de directie zeer belangrijk.
Informatiebeveiliging is hiermee een verantwoordelijkheid van de gehele organisatie. Dit is belangrijk voor de bewustwording rond informatiebeveiliging en voor draagvlak voor de nodige maatregelen, waardoor de kans op adoptie groter wordt. Meer hierover lees je onder de kop Informatiebeveiliging bewustzijn in deze tekst
16

De rol van partners en experts binnen informatiebeveiliging

Niet iedere organisatie heeft logischerwijs alle kennis in huis voor het opstellen van goed beleid rond informatiebeveiliging, het uitvoeren van plannen en het op de juiste manier implementeren van de nodige maatregelen. Er zijn dan ook veel factoren waarmee je rekening moet houden. In dat geval kan je een expert van buitenaf inschakelen.

Bij het benaderen van een expert is het belangrijk dat je een partij kiest die goed kijkt naar de situatie binnen de organisatie. Hoe passender de maatregelen en hoe realistischer het plan, hoe groter de kans op succes.