Informatiebeveiliging

Alles lezen over informatiebeveiliging en ISO 27001? Download dan vrijblijvend de gids ‘Informatiebeveiliging en ISO 27001’.

3. Wat houdt informatiebeveiliging in?

Om antwoord op die vraag te geven, allereerst een definitie van informatiebeveiliging:

Informatiebeveiliging is het behouden van de beschikbaarheid, integriteit en vertrouwelijkheid (BIV-classificatie) van informatie. Daarnaast kunnen ook andere eigenschappen, zoals authenticiteit, verantwoording, onweerlegbaarheid en betrouwbaarheid hierbij een rol spelen.

Informatiebeveiliging omvat alle processen, procedures, beleid, regels en beheersmaatregelen die de BIV van informatie en de informatievoorziening binnen een organisatie garanderen. De informatie en informatievoorziening worden beschermd tegen allerlei soorten bedreigingen. Wanneer je de processen in je organisatie hier goed op inricht, minimaliseer je risico’s, waarborg je continuïteit van informatie en beperk, of zelfs voorkom je beveiligingsincidenten. Maar hoe goed je informatie ook beveiligd is, het gedrag van je medewerkers speelt een ontzettend belangrijke rol om de informatieveiligheid van je organisatie uiteindelijk te kunnen waarborgen. Bewustwording bij medewerkers is daarom een factor die niet vergeten mag worden!

De indruk is vaak dat informatiebeveiliging en bijbehorende certificeringen zoals ISO 27001 voornamelijk gaan over online informatiebeveiliging. Niet onbegrijpelijk in deze tijd van digitalisering, cyberaanvallen en allerlei opkomende wetgeving (AVG, NIS2 Directive ed.). Toch is het beveiligen van informatie niet alleen online gericht. Ook offline is het belangrijk. Wat gebeurt er met de informatie binnen je organisatie als er een brand uitbreekt? Kortom, informatiebeveiliging is zeker niet enkel een IT-aangelegenheid.

Best gelezen informatiebeveiliging blogs

4. Wat zijn de drie basisprincipes van informatiebeveiliging?

De drie basisprincipes van informatiebeveiliging zijn Beschikbaarheid, Integriteit en Vertrouwelijkheid (BIV). Deze staan voor:

• Beschikbaarheid: de informatie dient op de juiste momenten toegankelijk en bruikbaar te zijn op verzoek van een bevoegde entiteit.
• Integriteit: nauwkeurigheid en volledigheid van de beveiliging van bedrijfsmiddelen.
• Vertrouwelijkheid: informatie wordt niet beschikbaar gesteld of ontsloten aan onbevoegde personen, entiteiten of processen.

Een goed informatiebeveiligingsbeleid wordt geschreven aan de hand van een BIV-classificatie. Voor de verschillende classificaties gelden verschillende eisen en maatregelen waaraan het gebruik en de opslag van informatie dient te voldoen. Dataclassificatie wordt toegepast om informatie te kunnen labelen en er zo een bepaalde waarde aan toe te kennen om te bepalen welk niveau van bescherming nodig is. De classificatie van de data bepaalt dus de hoeveelheid maatregelen en mate van beveiligingseisen die genomen moeten worden om de informatie te beschermen.

Meer hierover lees je in het artikel: Dataclassificatie bij informatiebeveiliging: beschikbaarheid, integriteit en vertrouwelijkheid (BIV)

5. Waarom informatiebeveiliging?

Waarom is informatiebeveiliging belangrijk? Organisaties verwerken en bewaren informatie die waardevol of ondersteunend is aan de informatiesystemen en -processen. Het verwerken van deze informatie brengt bepaalde risico’s met zich mee. Dergelijke risico’s kun je vaststellen met behulp van een risicoanalyse en daarvoor passende maatregelen treffen. Het is essentieel om dagelijks aandacht te blijven geven aan informatiebeveiliging. Risicomanagement en -analyses zijn dan ook regelmatig terugkerende onderdelen om de informatiebeveiliging binnen je organisatie te waarborgen. Zo kun je voorkomen dat je organisatie bepaalde risico’s loopt.

Daarnaast komt er steeds meer wet- en regelgeving op het gebied van informatiebeveiliging, zowel op nationaal als Europees niveau. Denk bijvoorbeeld aan de Algemene Verordening Gegevensbescherming (AVG). Die ontwikkelingen benadrukken dat informatiebeveiliging steeds relevanter en belangrijker wordt. Wanneer je in het bezit bent van een ISO 27001 certificering, dan heb je in elk geval geborgd dat je relevante wet- en regelgeving op het gebied van informatiebeveiliging grotendeels naleeft.

Lees ook het artikel: Waarom ISO 27001 behalen? 5 redenen.

Een andere reden om je informatiebeveiliging op orde te hebben zijn je (potentiële) klanten die steeds strengere eisen stellen aan de omgang met hun gegevens. In het bezit zijn van bijvoorbeeld een ISO 27001 certificering is zelfs steeds vaker een eis bij aanbestedingen. Wanneer je informatiebeveiliging, bijvoorbeeld met behulp van een certificering, op orde hebt, dan is dat een pluspunt richting je klanten en daarnaast ondersteunend aan je organisatie. Je houdt bijvoorbeeld je beleid en procedures tegen het licht, bent in staat om klanten beter te bedienen, het geeft structuur en draagt bij aan professionaliteit.

6. Wat moet er in een informatiebeveiligingsbeleid?

Even terug naar de basis. Actief aan de slag gaan met informatiebeveiliging is een beleidsbeslissing. Beleid wordt gemaakt op strategisch niveau. In veel gevallen door of in samenwerking met de directie dus.

In hoofdstuk 5 van de ISO 27001 norm staan eisen voor het vaststellen van het informatiebeveiligingsbeleid. Dit moet:

• Passend zijn voor het doel van de organisatie;
• Doelstellingen bevatten;
• Een verbintenis bevatten om te voldoen aan de eisen van informatiebeveiliging;
• En een verbintenis voor continue verbetering van het managementsysteem voor informatiebeveiliging.

In de praktijk worden al deze zaken vaak vastgelegd in een managementsysteem.

7. Informatiebeveiliging en ISO 27001

Er zijn een aantal verschillende manieren en systemen om informatiebeveiliging in een organisatie te integreren. Het meest bekende systeem is vastgelegd in de ISO 27001 norm voor informatiebeveiliging. In de norm staat omschreven hoe een organisatie haar informatiebeveiliging procesmatig kan inrichten. Een ISO 27001 certificaat wordt uitgegeven door een Certificerende Instantie (CI).

De ISO 27001 norm heeft dezelfde herkenbare structuur als andere ISO normen: de Harmonized/High Level Structure (HLS). Dit is een overkoepelende structuur waardoor verschillende normen makkelijk in hetzelfde managementsysteem verwerkt kunnen worden.

Wil je meer lezen over ISO 27001, de norm voor informatiebeveiliging? Bekijk dan: Wat is ISO 27001?

Naast ISO 27001 zijn er ook nog branche-specifieke normen op informatiebeveiligingsgebied. Zo is er de NEN 7510 voor informatiebeveiliging in de zorg en de Baseline Informatiebeveiliging Overheid (BIO) voor de overheid.

8. Informatiebeveiliging en ISO 27002

ISO 27002 is de formele benaming van de ‘Code voor Informatiebeveiliging’. Deze geeft richtlijnen en principes voor het initiëren, implementeren, onderhouden en verbeteren van informatiebeveiliging binnen een organisatie. De code bestaat uit twee delen; een norm (ISO 27001) en een handreiking (ISO 27002). Met behulp van de handreiking is het mogelijk om de informatiebeveiliging in de praktijk te implementeren.

ISO 27002 is dus een toelichtingen document op ISO 27001. ISO 27002 bestaat onder andere uit veertien hoofdstukken waarin concrete maatregelen op basis van best practices worden gegeven om de risico’s te beheersen. Het is echter niet mogelijk om je als organisatie te certificeren voor ISO 27002, omdat het geen managementstandaard is. De norm is ondersteunend aan ISO 27001.

Bekijk ook: Het verschil tussen ISO 27001 en ISO 27002: hoe zit dat?

In principe wordt iedere vijf jaar gekeken naar het actualiseren van een bepaalde norm. Voor ISO 27002 staat er in 2022 een update gepland.

• De huidige ISO 27002 norm verandert door samenvoeging en uitbreiding met 13 maatregelen.
• Het totaal aantal beheersmaatregelen gaat terug van 114 naar 93 (door samenvoeging).
• Bovendien bevat de nieuwe ISO 27002 norm meer meta-informatie.
• Zo wordt elke beheersmaatregel voorzien van ‘Attributes’ en gekoppeld aan één of meer ‘operational capability’. Daardoor wordt het makkelijker om in te schatten wie de verantwoording krijgt over een beheersmaatregel.

Wil je alles lezen over de nieuwe ISO 27002 norm en de geplande wijzigingen? Lees dan: ISO 27002 wijzigingen: wat betekent dat voor jouw organisatie?

9. Informatiebeveiliging awareness

Zoals eerder al benoemd: Betrouwbare, veilige en efficiënte IT-middelen zijn een must. Bewustzijn van de waarde van informatie en het vertonen van daarbij passend gedrag eveneens. Met name rondom dat gedrag van mensen zit een flinke uitdaging. Wanneer je naar de driehoek procedures, systemen en mensen kijkt, dan is de mens doorgaans de zwakste schakel. Uit onderzoek is zelfs gebleken dat zo’n 80% van alle informatiebeveiligings-incidenten binnen organisaties het gevolg zijn van verkeerd handelen van medewerkers (bron: CBS).

Security awareness (of informatiebeveiligingsbewustzijn) is de mate waarin medewerkers van je organisatie in staat zijn om informatiebeveiligings-incidenten te herkennen, te voorkomen en daarop actie te ondernemen. Om je data veilig te houden is het belangrijk dat medewerkers, van alle afdelingen en niveaus, zich bewust zijn van de gevaren, begrijpen waar mogelijke dreigingen zitten en de impact van (cyber)aanvallen op de organisatie en medewerkers inzien en hier ook naar gaan handelen. Het verhogen van het beveiligingsbewustzijn gaat immers gepaard met het kennisniveau, de houding en het gedrag van medewerkers. Om die reden dienen medewerkers continu getraind te worden zodat hun kennis wordt vergroot en zij eerder in kunnen grijpen bij een mogelijke dreiging.

Het beveiligingsbewustzijn verhogen kan op allerlei manieren. Bijvoorbeeld met behulp van security awareness sessies. Meer lezen over het verhogen van beveiligingsbewustzijn? Bekijk dan het artikel: Beveiligingsbewustzijn verhogen, handige tips en voorbeelden.

10. Informatiebeveiliging maatregelen

Iedere organisatie is uniek. Net als de informatie binnen iedere organisatie. En daarmee dus ook de risico’s op informatieverlies. De beveiliging van je informatie wordt daarom gebaseerd op een risicoanalyse. Op basis daarvan neem je maatregelen. Door het treffen van deze maatregelen, is het mogelijk de kans en/of de impact van het risico te verlagen. Hierbij wordt altijd een afweging gemaakt tussen de kosten van de maatregelen en het risico.

Meer over de risicoanalyse lees je in het artikel: De ISO 27001 risicoanalyse uitgelicht.

Je dient continu te anticiperen en verbeteren om te kunnen inspelen op steeds weer veranderende risico’s vanuit de interne organisatie alsmede de externe omgeving. Door continue monitoring, verbetering, interne audits en corrigerende maatregelen blijven de controles in je managementsysteem up-to-date en daarmee dus functioneel. Zo is de veiligheid van informatie in je organisatie beter geborgd.

11. Managementsysteem voor informatiebeveiliging (ISMS)

Om (vertrouwelijke) informatie beter te kunnen beveiligen kun je een managementsysteem voor informatiebeveiliging opzetten. Dit wordt ook wel een ISMS genoemd wat staat voor Information Security Management System. Een ISMS sluit aan bij het beleid van je organisatie en dient geïntegreerd te worden in je huidige processen. Wanneer we spreken over een ISMS, dan gaat het niet over een systeem in de vorm van een softwaretool, maar juist om een ‘manier van werken’ en het daaraan gekoppelde continue verbeterproces. Het is een manier van werken waarbij een systematische aanpak wordt gehanteerd om (vertrouwelijk) informatie te managen, zodat de veiligheid ervan wordt gewaarborgd.

Lees ook: Wat is een ISMS in de ISO 27001 norm?

Uiteindelijk leg je in het ISMS een complete set aan beheersmaatregelen, processen en procedures vast met betrekking tot informatiebeveiliging om daarmee de beschikbaarheid, integriteit en vertrouwelijkheid (BIV) van informatie te controleren. Het ISMS bevat controles waarmee je de risico’s die voortkomen uit de risicoanalyse en die gerelateerd zijn aan mensen, processen en systemen beheersbaar maakt. Wanneer je op een transparante en wereldwijd aanvaardbare manier aan wilt tonen dat je de informatiebeveiliging binnen je organisatie op orde hebt, kun je dat ISMS laten toetsen en certificeren door een onafhankelijke partij.

Interessant artikel: Applicaties en leveranciers binnen scope van een ISMS en hun beheersing

12. Wet- en regelgeving rondom informatiebeveiliging

Als organisatie ben je verplicht om te voldoen aan de (inter)nationale wet- en regelgeving van het land/de landen waarin je operationeel bent. Doe je dat niet, dan ben je nalatig. Dat geldt dus ook met betrekking tot wet- en regelgeving rondom het thema informatiebeveiliging en specifiek de ISO 27001 norm.

Meer informatie over wet- en regelgeving, lees dan: Wet- en regelgeving informatiebeveiliging en ISO 27001

Voor organisaties die informatiebeveiliging serieus oppakken, kent ISO 27001 nog een expliciete eis omtrent naleving die terug te vinden is in de zogenaamde Annex A, hoofdstuk 18. Daarin staat dat een organisatie die een informatiebeveiligingsmanagementsysteem (ISMS) heeft ook moet weten welke wetten relevant zijn voor informatiebeveiliging. Net zoals een organisatie moet voldoen aan (beveiligings)eisen die vastliggen in contracten (belofte aan klanten moet worden gerealiseerd). Deze eisen moet de organisatie handhaven.

Wanneer we het over wetgeving in relatie tot informatiebeveiliging en ISO 27001 hebben dan kun je denken aan wetgeving zoals:

• De Algemene Verordening Gegevensbescherming (AVG)
• De (recent gewijzigde) Telecommunicatiewet;
• Specifieke bepalingen uit het burgerlijk wetboek;
• Specifieke bepalingen uit het wetboek van strafrecht;
• De Wet bescherming bedrijfsgeheimen
• De wet op de ondernemingsraden (WOR);
• De Wet beveiliging netwerk- en informatiesystemen (Wbni) – voor vitale aanbieders;
• De Wet Huis voor klokkenluiders;
• Etc.

Ook is de Europese Unie bezig met een nieuwe wet, de NIS2 welke de verouderde NIS1 uit 2016 moet vervangen. In de NIS staat wat organisaties moeten doen om cybercriminelen buiten de deur te houden. Meer daarover lees je in het artikel: NIS2 Directive en andere wet- en regelgeving

13. Wat kost informatiebeveiliging?

Regelmatig wordt er gevraagd naar de kosten van informatiebeveiliging. Vooropgesteld: een goed beleid voor informatiebeveiliging is voor steeds meer bedrijven pure noodzaak en daarom een investering en geen kostenpost. Denk alleen maar aan de wet- en regelgeving die steeds strenger wordt en waar je als organisatie aan moet voldoen. Daar kun je simpelweg niet (meer) omheen.

Iedere organisatie is uniek en heeft dus een unieke aanpak nodig. Een logische conclusie is dus dat een informatiebeveiligingstraject, of specifiek een ISO 27001 certificering, altijd een maatwerktraject is. Dat geldt dus ook voor de kosten in tijd en geld die ermee gepaard gaan. De hoogte van de investering hangt bijvoorbeeld af van de grootte en complexiteit van de organisatie, maar ook van de hoeveelheid en met name de impact van de maatregelen die je moet treffen. Die worden bepaald door de risicoanalyse.

Lees ook: Wat zijn de kosten voor een ISO 27001 certificering?

Wanneer je ervoor kiest om een consultant in de arm te nemen om je te coachen/ondersteunen dan komt daar ook een investering bij kijken. De hoogte daarvan is afhankelijk van de hoeveelheid werk die je wilt uitbesteden. Wanneer je jezelf wilt laten certificering, krijg je te maken met kosten voor de Certificerende Instantie (CI). Al met al is het dus een op maat optelsom. Wil je daarover meer weten voor jouw organisatie? Neem dan gerust contact met ons op. We vertellen je graag meer.

14. De (rol van de) Security Officer binnen informatiebeveiliging

Wanneer je informatiebeveiliging en privacy binnen je organisatie serieus neemt, dan kun je er niet omheen om een Security Officer (SO) aan te stellen. Zeker wanneer je met de ISO 27001 norm, de norm voor informatiebeveiliging, aan de slag gaat. In de norm staat namelijk gedefinieerd dat je rollen en verantwoordelijkheden op het gebied van informatiebeveiliging dient te bepalen binnen je organisatie. Daarbij wel de opmerking dat informatiebeveiliging hand in hand gaat met het gedrag van iedereen binnen de organisatie en niet enkel een taak is van degene die een rol of verantwoordelijkheid op dit gebied toebedeeld krijgt. Wanneer je een SO aanstelt:

• Heeft die continu focus op verhogen van het niveau van informatiebeveiliging en borgen van vooruitgang op dat gebied;
• Voldoe je aan wensen/eisen van de buitenwereld: wanneer je namelijk met grote(re) organisaties samenwerkt, wordt er vaak om een SO gevraagd;
• Wordt er adequaat gehandeld wanneer er een incident of datalek plaatsvindt.

Vooropgesteld staat wel dat we het hebben over een rol, die ervoor zorgt dat bepaalde taken uitgevoerd worden. Deze rol hoeft niet per sé bij één (fulltime) persoon te liggen. Je kunt op verschillende manieren invulling geven aan die rol. Als we beveiligingsonderwerpen voorlopig even splitsen naar expliciete rollen (of afdelingen) dan is de volgende afbeelding een gangbare invulling.

Bron: Kwaliteit in Bedrijf

Wil je meer uitleg over deze afbeelding? Lees dan het artikel: De rol van de Security Officer: het schaap met de vijf poten?

15. Stappenplan informatiebeveiliging

Wanneer je met informatiebeveiliging, of specifiek de ISO 27001 norm, aan de slag gaat dan zijn er een aantal vaste stappen die je dient te doorlopen. Je begint met het inventariseren van de informatiedragers en informatiesystemen in je bedrijf, ook wel business impact analyse genoemd. Er wordt bepaald wat de gevolgen zijn voor jouw bedrijf als een informatiesysteem niet beschikbaar is, hoe lang het systeem niet beschikbaar mag zijn, en tot welk niveau informatieverlies acceptabel is.

Vervolgens neem je een lijst met bedreigingen door. Dit doe je met de informatiedragers en informatiesystemen in het achterhoofd. Per dreiging moet worden bepaald in welke mate de dreiging reëel is voor jouw bedrijf en wat je daaraan kunt doen. Wellicht voldoe je al voor een gedeelte aan de werkwijze van de ISO 27001 norm. De ontbrekende normelementen moeten worden beschreven en geïmplementeerd in het managementsysteem en in jouw bedrijfsvoering.

Het implementatieproces wordt afgerond met een laatste check om vast te stellen of je gereed bent voor ISO 27001 certificering. Daarnaast moet er een directiebeoordeling worden uitgevoerd. Wanneer alle zaken in orde zijn ben je klaar voor certificering. Die certificering voor ISO 27001 moet worden uitgevoerd door een erkende certificerende instantie. Na certificering ontvang je een certificaat dat 3 jaar geldig is. Daarnaast worden er jaarlijks controle audits uitgevoerd.

Samengevat komt dit neer op de volgende zeven stappen:

1. Algemene inventarisatie & het bepalen van de scope.
2. Opstellen beleid(scyclus)
3. Inventarisatie van informatie en middelen.
4. Uitvoeren van de risicoanalyse en selecteren van maatregelen.
5. Implementeren en monitoren van maatregelen.
6. Uitvoeren van interne audits.
7. Directiebeoordeling en correctieve acties.

Wil je niet direct het hele traject doorlopen? Maar liever eerst op een laagdrempelige en toegankelijke manier een informatiebeveiligingsfundament leggen? Dan kan een ‘opstaptraject ISO 27001’ uitkomst bieden. Bij een opstaptraject maken we in overleg een selectie van enkele ‘basic’ beheersmaatregelen vanuit Annex A van ISO 27001. Met ‘basic’ bedoelen we de voor jouw organisatie meest essentiële en voor de hand liggende zaken waarop snel resultaat kan worden geboekt; het ‘laaghangend fruit’. Mocht je organisatie op die punten nog stappen moeten zetten, dan gaan we daarmee als eerste aan de slag. Indien een externe IT-leverancier de technische security van de organisatie beheert, dan pakken we dat samen met hen op.

Meer weten over een dergelijk opstaptraject? Bekijk dan: Opstaptraject informatiebeveiliging: een eerste stap naar certificering.

Alles lezen over informatiebeveiliging en ISO 27001? Download dan vrijblijvend de gids ‘Informatiebeveiliging en ISO 27001’.

Onze informatiebeveiliging specialisten

Tobias op den Brouw
Adviseur IB

Robin van der Steen
Adviseur IB

Laurens Hekkink
Adviseur IB

Gertjan de Beer
Salesmanager
Zakelijke dienstverlening & IT