Informatiebeveiliging ISO 27001

de 12 belangrijkste maatregelen

Informatiebeveiliging: de 12 belangrijkste maatregelen

Informatiebeveiliging is vandaag de dag een belangrijk item voor elke onderneming. De organisatie daarvan is echter niet altijd eenvoudig te realiseren en gaat in veel gevallen gepaard met tal van uitdagingen. Als ondernemer staan daarbij een aantal belangrijke vragen centraal:

  • Hoe pak ik het aan?
  • Waar begin ik met mijn informatiebeveiliging?
  • Welke maatregelen moet ik overwegen?

Informatiebeveiliging is geen nieuw begrip en vaak wordt er al wel ‘iets’ aan de beveiliging van de aanwezige informatie gedaan. Begrippen als virusscanner, wachtwoord en firewall zijn inmiddels bekend. Het is daarom verstandig om te beginnen met het inventariseren van de maatregelen die al zijn genomen.

Voor een effectieve vorm van informatiebeveiliging is het echter een absolute voorwaarde dat het leidinggevende deel van de organisatie het initiatief steunt. Zonder deze steun en de bijbehorende commitment, is het opzetten van informatiebeveiliging gedoemd te mislukken. Nadat de leiding het belang van een goede vorm van informatiebeveiliging onderschrijft, kan een begin worden gemaakt met het nemen van maatregelen.

De belangrijkste maatregelen in het kader van informatiebeveiliging zijn er als volgt uit:

1. Stel informatiebeveiligingsbeleid op

Zonder plan of informatiebeveiligingsbeleid zijn alle acties zinloos omdat de juiste structuur ontbreekt. Het aanbrengen van een structuur moet dus het startpunt zijn. Dat lijkt een complexe opgave, maar de praktijk wijst uit dat dit juist meevalt. Ga er in ieder geval van uit dat de eerste opzet een ruwe schets is die in de loop der tijd wordt verbeterd. Communiceer dit ook duidelijk op een transparante wijze en verzoek de leiding nadrukkelijk om u te steunen. Dit is vooral van belang als tegenstanders hun argument dat het ‘niet goed genoeg zou zijn’ continu naar voren brengen. In veel gevallen wordt dit argument juist gebruikt om een eventuele deelname te voorkomen.

2. Stel vast wie waarvoor verantwoordelijk is

Maak duidelijk wie er verantwoordelijk is en ook waar die verantwoordelijkheid voor geldt. Wees u ervan bewust dat niet iedereen verantwoording wil dragen. Een dergelijke instelling werkt vaak contraproductief omdat niemand zich verantwoordelijk wil voelen als het mis gaat.

3. Zorg voor bewustwording, opleiding en training

Onkunde en onwetendheid is in de meeste gevallen de oorzaak van incidenten op het gebied van informatiebeveiliging. Deze incidenten ontstaan vaak niet bewust, maar door een gebrek aan kennis. Een goede informatiebeveiliging is in tachtig procent van de gevallen mensenwerk. De overige twintig procent is het juist de techniek die zorgt voor een efficiënte beveiliging.

4. Neem maatregelen tegen kwaadaardige programmatuur

In sommige gevallen zijn derden verantwoordelijk voor het ontstaan van informatiebeveiligingsincidenten. Inmiddels is er een hele industrie ontstaan waarbij kwaadwillenden doelbewuste pogingen ondernemen om de aanwezige informatiebeveiliging te omzeilen. Een van de populaire prooien voor dergelijke kwaadwillenden is de zorgsector. Een heel scla aan tools worden gebruikt om toegang te krijgen tot een netwerk: virussen, wormen, spyware, Trojaanse paarden, ransomware en andere vormen van ‘malware’. Aan de andere kant zijn er vele kant-en-klare oplossingen te koop die u kunt inzetten om dergelijke pogingen te neutraliseren.

5. Sluit overeenkomsten voor gegevensuitwisseling

Niet zelden is er sprake van het beheren en verwerken van privacygevoelige data, denk bijvoorbeeld aan patiëntgegevens. Afgezien van het feit dat hier speciale maatregelen en voorwaarden aan zijn verbonden, is er ook sprake van een bijzondere verantwoordelijkheid. Hierbij is het van groot belang dat er heldere afspraken over worden gemaakt met de communicatiepartners. Zonder degelijke afspraken is het uitwisselen van gegevens niet mogelijk.

6. Beveilig de toegang tot systemen

Elk systeem is zo sterk als de zwakste schakel. Bij informatiebeveiliging is dit vaak degene die toegang heeft. Met die kennis in het achterhoofd is het van groot belang dat elke geregistreerde gebruiker beschikt over unieke toegangsgegevens. Wees erop bedacht dat gebruikers niet elkaars wachtwoorden en andere authenticatiemiddelen kunnen gebruiken. Ook het onderling uitwisselen van toegangsgegevens zou voorkomen moeten worden.

7. Ontwikkel en implementeer continuïteitsbeheer

Informatiebeveiliging beoogt niet alleen inbreuken van buitenaf te voorkomen, het gaat ook om het vlekkeloos laten verlopen van de (interne) informatievoorziening. Onder de term ‘continuïteitsbeheer’ vallen diverse zaken zoals een back-up, noodstroom, uitwijkcentrum, redundantie en dergelijke.

8. Houd rekening met intellectueel eigendom

Alhoewel het gebruik van illegaal verkregen software erg verleidelijk kan zijn, is het bijzonder onverstandig. Afgezien van de vaak schimmige herkomst, met vele risico’s van dien, is er al snel sprake van inbreuk op intellectuele rechten. Rechthebbenden kunnen bij een redelijk vermoeden van het illegaal gebruik van hun software, inbeslagname vorderen van de apparatuur waar de mogelijk illegale software op is geïnstalleerd. Behalve het risico van een inbeslagname, is er ook een aanzienlijke kans op imagoschade en loopt u de kans op een strafrechtelijke vervolging.

9. Beveilig bedrijfsdocumenten

Het beveiligen van belangrijke bedrijfsdocumenten is een belangrijk punt. Het gaat daarbij om het voorkomen van verlies, vernietiging en vervalsing van belangrijke data. Dergelijke gegevens dienen ‘digitaal duurzaam’ te worden opgeslagen. Hierbij kan bijvoorbeeld gebruik worden gemaakt van encryptie-technologieën. De sleutels die nodig zijn om de documenten te ‘decrypten’ moeten ook worden bewaard en worden opgevraagd. De manier waarop dat gebeurt, moet geschikt zijn voor juridische procedures.

10. Bescherm persoonsgegevens

De plicht tot het beschermen van persoonsgegevens, is een voortvloeisel uit de Wet bescherming persoonsgegevens (Wbp). In het bijzonder gaat het met betrekking tot de zorg, om de Wet geneeskundige behandelingsovereenkomst (Wgbo). Degenen die beroepsmatig bezig zijn met de verwerking van persoonsgegevens, zijn niet verplicht om dit te melden, maar zijn wel verplicht tot het nemen van voldoende beveiligingsmaatregelen om de toevertrouwde gegevens adequaat te beveiligen.

11. Leef beveiligingsbeleid na

Informatiebeveiliging en dan vooral de beveiligingsincidenten, is in de meeste gevallen mensenwerk. Dit gegeven maakt controle noodzakelijk. Door het hanteren van een degelijke controle wordt een grote mate van discipline gewaarborgd. Ook het periodiek beoordelen van de verschillende beveiligingsprocedures draagt hieraan bij, op voorwaarde dat dit op een  objectieve en onpartijdige wijze gebeurd.

12. Rapporteer beveiligingsincidenten

De rapportage van beveiligingsincidenten is een essentieel onderdeel van de informatiebeveiliging. Zonder deze vorm van feedback is het niet mogelijk om het beveiligen van de informatie naar een hoger plan te tillen en te optimaliseren. De rapportage van dergelijke incidenten draagt bij aan de verdere professionalisering van de manier waarop informatie binnen een organisatie wordt beveiligd.

De beschreven twaalf stappen vormen een goede start voor informatiebeveiliging in een organisatie of onderneming. Daarmee is de informatiebeveiliging nog niet gereed. Het is in feite een iteratief proces. Om het hele proces van informatiebeveiliging naar een hoger niveau te tillen, is het raadzaam om ook een risicoanalyse uit te voeren.