Business Risk Services

ISO 270001: praktisch mogelijk voor elke organisatie!

Sarah De Ridder Sarah De Ridder

Informatie en kennis zijn vaak het belangrijkste bezit van een organisatie. Onderzoek toont aan dat organisaties cybercrime als een groot risico beschouwen. Desondanks staat bij velen onder hen verbazingwekkend genoeg de informatiebeveiliging nog niet helemaal op punt.

Graag geven we u enkele basisprincipes van de internationale standaard, ISO 27001, mee die voor elke organisatie van toepassing zijn. De ISO 27001 bevat richtlijnen in verband met informatiebeveiliging. Centraal staat het behouden van de vertrouwelijkheid, integriteit en beschikbaarheid van informatie.

Eerst en vooral zetten we deze 3 kernaspecten van informatiebeveiliging voor u op een rijtje. Vervolgens lichten we u de noodzaak van online én offline beveiliging toe. En tot slot geven we u enkele eenvoudige principes mee die u kan implementeren.

Kernaspecten informatiebeveiliging

Vertrouwelijkheid

Onder vertrouwelijkheid verstaan we de mate waarin alleen geautoriseerde personen of processen kennis mogen nemen en/of gebruik mogen maken van de informatie.

Integriteit

De integriteit van informatie wordt bepaald door de juistheid, de volledigheid en de correctheid ervan.

Beschikbaarheid

Informatie dient op de juiste momenten, tijdig toegankelijk te zijn voor geautoriseerde personen of processen.

Online en offline beveiliging

Informatie dient niet enkel online, maar evenzeer offline te worden beveiligd.

Online beveiligingen dringen zich op naar aanleiding van digitalisering, cybersecurity risico’s (hackers, ransomware) en de nieuwe wetten inzake meldplicht datalekken (GDPR). 

Voor offline beveiliging denken we onder meer aan: Wat gebeurt er met de informatie binnen uw organisatie als er brand uitbreekt? Heeft u nagedacht tot welk niveau informatieverlies acceptabel is? En hoe lang mag bepaalde informatie onbereikbaar zijn?

Eenvoudige principes die u kan implementeren

Werk een informatieveiligheidsbeleid uit

Klanten verwachten dat leveranciers hun informatie vertrouwelijk behandelen. Werknemers verwachten dat hun persoonsgegevens bij de HR-afdeling veilig zijn. De organisatie zelf wil na een incident, zoals brand of diefstal, snel weer operationeel zijn. Nooit eerder was de perceptie omtrent informatiebeveiliging zo kritisch als vandaag.

Cruciaal voor een goede informatiebeveiliging is het beleid daaromtrent (hierna ‘informatieveiligheidsbeleid’ of ‘data protection beleid’). Vele organisaties lopen in de valkuil en concentreren zich enkel op de IT-aspecten van informatiebeveiliging en/of op het vertrouwelijkheidsaspect van digitale informatie.

Het uitgangspunt is informatiebeveiliging in de breedste zin van het woord en niet louter een IT-kwestie. Ook deze aspecten spelen een rol:

  • de vormen van informatie (digitaal, analoog en kennis)
  • de kernaspecten van de informatie (beschikbaarheid, integriteit en vertrouwelijkheid)
  • de aspecten van de beheersmaatregelen (techniek, mens en organisatie).

Er zijn diverse factoren die wegen op het beleid, waaronder:

  • de cultuur van de organisatie
  • de eisen en wensen van klanten en/of leveranciers
  • wet- en regelgeving.

Het spreekt voor zich dat regelmatige updates van dit beleid nodig zijn, aangezien de bedrijfsprocessen en de ondersteunende technologie voortdurend wijzigen.

Een goed informatieveiligheidsbeleid bevat:

  • de betekenis en definitie / het belang van de gegevensbescherming vanuit het oogpunt van de organisatie, evenals het doel of de redenen (bijvoorbeeld opsomming van belangrijke bedreigingen, of wettelijke of contractuele vereisten waaraan moet worden voldaan).
  • de gedragsregels met betrekking tot het behandelen van data. Het personeel dient voldoende geïnformeerd te worden over dit beleid en de eventuele updates hieraan.
  • de vastgelegde rollen en verantwoordelijkheden.

Classificeer uw informatie

Niet alle informatie is geheim of gevoelig. Adresgegevens van klanten zijn misschien wat minder bijzonder, maar tekeningen van innovaties zijn vaak wel gevoelig / vertrouwelijk. Classificeer de informatie per processtap. ‘Klasse I’-informatie hoeft niet te worden beveiligd. ‘Klasse II’-informatie daarentegen wel en ‘Klasse III’ mag niet in verkeerde handen terechtkomen. Vervolgens is het belangrijk te bepalen welke informatie per processtap nodig is om medewerkers het werk goed te laten uitvoeren. Het gaat dus om de combinatie van beveiliging en beschikbaarheid om de continuïteit van het werk te garanderen.

Tip: Definieer in eerste instantie drie klassen en specificeer veiligheidsmaatregelen per klasse. Daarna kan u bepalen op welke manier per processtap wordt voldaan aan de gestelde veiligheidseisen. Let op met verwijderbare media (bijvoorbeeld USB-sticks met data) en met toestellen die vervangen worden. Voorkom dat bedrijfsgegevens in verkeerde handen vallen door deze toestellen op een gepaste manier te (laten) vernietigen.

Beoordeel beschikbaarheid van informatie

Geef uw medewerkers enkel toegang tot de informatie die nodig is voor hun functie. Werk hiervoor met ‘functiegroepen’. Beperk de administratorrechten op systemen tot bevoegde personen.

Tip: In ERP-systemen zijn natuurlijk allerlei niveaus van toegang en veiligheid geregeld. Maar pas op met eenvoudige work arounds die tot onaangename verrassingen kunnen leiden. Denk aan het schrijven op social media over een klantbezoek.

Doe een kwetsbaarheidsanalyse

Door middel van ethical hacking (penetration testing) kan u zich een beeld vormen van de kwetsbaarheid van uw IT-omgeving. De test kan zich specifiek richten op het netwerk, de IT-systemen en/of (web)applicaties. Ook kan u tests uitvoeren in de vorm van social engineering, waarbij wordt onderzocht hoe vatbaar een (medewerker van een) organisatie is voor pogingen om via manipulatie gevoelige informatie te verkrijgen.

Bewustzijn

Het fundament voor informatiebeveiliging wordt gevormd door het draagvlak vanuit het (hoogste) management. Om dit draagvlak te creëren is inzicht nodig in de risico’s rond informatievoorziening en de gevolgen die een bedreiging voor de organisatie kunnen hebben. Binnen het stelsel van beheersmaatregelen is  de ‘menselijke factor’ de zwakste schakel. Het bewustzijn rondom informatiebeveiliging draagt voor een groot deel bij aan het verstevigen van de informatiebeveiliging. In een ideale wereld is de aandacht voor het passend omgaan met de informatie als een tweede natuur aanwezig bij elke medewerker. 

Conclusie

Informatiebeveiliging is dus erg breed.

Het gaat niet alleen over mogelijke gevaren van buitenaf (bijvoorbeeld een DDoS-aanval), maar het is ook gericht op de interne organisatie.

Bovendien gaat het niet enkel om het verliezen van informatie. Het dient ook om te garanderen dat de informatie juist, volledig en enkel voor de juiste personen toegankelijk is.

Elke informatie(stroom) kent zijn eigen eisen ten aanzien van deze drie kernaspecten. Sommige informatie is zeer vertrouwelijk; andere is dan weer juist bedoeld om publiek toegankelijk te zijn. Bepaalde informatie heeft een hoge integriteitseis; andere hoeft dan weer niet per se correct te zijn. Hetzelfde geldt voor de beschikbaarheid. Sommige informatie is essentieel voor de bedrijfsvoering; andere wordt dan weer als ‘aanvullend, niet noodzakelijk’ beschouwd. 

Het zijn uiteindelijk deze vertrouwelijkheids-, integriteits- en beschikbaarheidseisen van de afzonderlijke informatiestromen die mee bepalen of (en in welke mate) er een noodzaak is om beheersmaatregelen te treffen.

 

Interesse om deze principes te implementeren in uw organisatie? Neem vrijblijvend contact op met ons Business Risk Services-team.