Meer informatie of eens sparren?
Wil je meer weten of eens sparren over het verbeteren van informatiebeveiliging in jouw organisatie? Neem dan contact met ons op!
Kroonjuwelen: BIV
Digitalisering en het toenemend belang van informatietechnologie maken bedrijfsresultaten steeds afhankelijker van de beschikbaarheid, integriteit en vertrouwelijkheid (BIV) van informatie.
Strengere eisen
Waarom informatie-beveiliging?
Waarom is informatiebeveiliging belangrijk? Organisaties verwerken en bewaren informatie die waardevol of ondersteunend is aan de informatiesystemen en -processen. Ook verwerken ze op steeds grotere schaal informatie en wisselen die ook steeds vaker uit met andere partijen. Informatie is daardoor van grote waarde en dat maakt het interessant voor kwaadwillenden. De ransomware industrie is miljarden waard en richt zich in toenemende mate op (mkb-)bedrijven. Het verwerken van deze informatie brengt bepaalde risico’s met zich mee. Dergelijke risico’s kun je vaststellen met behulp van een risicoanalyse en daarvoor passende maatregelen treffen.
Het is essentieel om dagelijks aandacht te blijven geven aan informatiebeveiliging; je wilt immers niet dat informatie in verkeerde handen komt. Risicomanagement en -analyses zijn dan ook regelmatig terugkerende onderdelen om de informatiebeveiliging binnen je organisatie te waarborgen. Zo kun je voorkomen dat je organisatie bepaalde risico’s loopt. Kortom, een digitale strategie met belangrijke plaats voor informatiebeveiliging is pure noodzaak geworden. Betrouwbare, veilige en efficiënte IT-middelen zijn een must. Bewustzijn van de waarde van informatie en het vertonen van daarbij passend gedrag eveneens.
Daarnaast komt er steeds meer wet- en regelgeving op het gebied van informatiebeveiliging, zowel op nationaal als Europees niveau. Denk bijvoorbeeld aan de Algemene Verordening Gegevensbescherming (AVG) of de NIS2-wetgeving. Die ontwikkelingen benadrukken dat informatiebeveiliging steeds relevanter en belangrijker wordt. Wanneer je in het bezit bent van een ISO 27001 certificering, dan heb je in elk geval geborgd dat je relevante wet- en regelgeving op het gebied van informatiebeveiliging grotendeels naleeft.
Samengevat
Redenen voor informatiebeveiliging
Door informatiebeveiliging goed in te regelen binnen je organisatie:
- Wordt voorkomen dat je organisatie bepaalde risico’s loopt;
- Voldoe je aan wet- en regelgeving op dit gebied (denk bijvoorbeeld aan de AVG-wet);
- Voldoe je aan eisen van opdrachtgevers en/of het professioneel belang dat je hebt richting partners;
- Voorkom je hoge kosten door schade, wanneer kwaadwillenden je informatie, die geld waard is, weten te bemachtigen (phishing, malware, ransomware);
- Bescherm je jouw imago en til je jouw organisatie naar een hoger niveau. Wanneer je hiervoor bovendien een certificaat behaald, dan heb je tevens een commercieel uithangbord dat kansen biedt en nieuwe deuren opent.
De organisatie van de toekomst heeft informatiebeveiliging in het DNA:
Wij zijn je graag van dienst
Onze Informatiebeveiliging specialisten
Meer informatie-beveiliging?
Inhoudsopgave
Toenemende risico’s
1. Informatie-beveiliging integreren in het DNA van je organisatie!
De volwassenheid van informatiebeveiliging bepaalt mede het succes van vandaag en morgen. Goed is op termijn niet meer goed genoeg. Organisaties die op het eerste of tweede niveau blijven steken (zie afbeelding hieronder), prijzen zichzelf uit de markt. Op niveau drie wordt voldaan, maar onderscheidt de organisatie zich nauwelijks (meer). Niveau vier is op dit moment onderscheidend, maar in de nabije toekomst een basisvoorwaarde om mee te blijven doen.
Bron afbeelding: Kwaliteit in Bedrijf
Om de volgende stap te maken moet informatiebeveiliging integraalonderdeel worden van alle bedrijfsprocessen, structureel onder de aandacht zijn en continu geborgd en verbeterd worden. Dit vraagt een omslag van reactiviteit naar pro-activiteit, van top-down naar bottom-up en van faalfactor naar succesfactor. Enkel wanneer informatiebeveiliging onderdeel is van het strategisch beleid, proactief en positief wordt benaderd, met samenwerking over disciplines heen (intern en binnen de bredere keten) en daarmee leidt tot betere bedrijfsresultaten, krijgt het zichtbaar waarde voor iedereen binnen de organisatie.
2. Informatiebeveiliging facts & figures
- Informatiebeveiliging wordt in steeds meer branches gemeengoed. In 2019 waren ongeveer 1.000 Nederlandse organisaties ISO 27001 gecertificeerd. Dit aantal groeit snel en gaat komende jaren alleen maar toenemen (bron: DNV.nl, 2020).
- 74% van de bedrijven laat beveiligingswerkzaamheden door derden uitvoeren (CBS, 2017)
- 58% van de slachtoffers van malware aanvallen valt binnen de categorie kleine bedrijven (bron: Verizon, 2018).
- 80% van alle informatiebeveiligings-incidenten binnen organisaties zijn het gevolg van verkeerd handelen van medewerkers (bron: CBS).
- Uit een rapport van IBM X-Force blijkt dat het aantal geautomatiseerde cyberaanvallen in 2019 is toegenomen. Phishing is daarbij de meest voorkomende aanvalsmethode (bron: Dutch IT Channel).
- Uit de Unisys Security Index van 2020 blijkt dat slechts 9% van de Nederlanders zich zorgen maakt over een datalek of cyberaanval als men thuiswerkt (bron: Securitymanagement.nl). Een kwalijke zaak, zeker als je bekijkt dat uit analyses van 2019 blijkt dat het aantal (geautomatiseerde) cyberaanvallen juist aan het toenemen is (bron: Dutch IT Channel) en dat de cybercriminaliteit door de coronacrisis nog eens vervijfvoudigd is (bron: Securitymanagement.nl).
- Uit analyses van de Nationale Politie blijkt dat de cybercriminaliteit tijdens de coronacrisis fors is gestegen. Vooral WhatsApp-fraude en het versturen van phishingmails waren daarbij populaire aanvalstechnieken (bron: Securitymanagement.nl).
3. Wat is informatiebeveiliging?
Om antwoord op die vraag te geven, allereerst een definitie van informatiebeveiliging:
Informatiebeveiliging is het geheel van beleid, maatregelen, procedures en processen, waarmee het behouden van de beschikbaarheid, integriteit en vertrouwelijkheid (BIV-classificatie) van informatie wordt gegarandeerd. Daarnaast kunnen ook andere eigenschappen, zoals authenticiteit, verantwoording, onweerlegbaarheid en betrouwbaarheid hierbij een rol spelen. Doel van informatiebeveiliging is de continuïteit van de informatievoorziening borgen, risico’s minimaliseren en beveiligingsincidenten beperken of zelfs voorkomen.
Hoe goed je informatie ook beveiligd is, het gedrag van je medewerkers speelt een ontzettend belangrijke rol om de informatieveiligheid van je organisatie uiteindelijk te kunnen waarborgen. Bewustwording bij medewerkers is daarom een factor die niet vergeten mag worden!
E-learning Security Awareness
Met de e-learning Security Awareness zijn medewerkers periodiek actief bezig met bijspijkeren van bewustwordingsniveau op gebied van informatiebeveiliging. Benieuwd naar de leerpaden? Bekijk e-learning security awareness of vraag een gratis demo aan.
De indruk is vaak dat informatiebeveiliging en bijbehorende certificeringen zoals ISO 27001 voornamelijk gaan over online informatiebeveiliging. Niet onbegrijpelijk in deze tijd van digitalisering, cyberaanvallen en allerlei opkomende wetgeving (AVG, NIS2 Directive ed.). Toch is het beveiligen van informatie niet alleen online gericht. Ook offline is het belangrijk. Wat gebeurt er met de informatie binnen je organisatie als er een brand uitbreekt? Kortom, informatiebeveiliging is zeker niet enkel een IT-aangelegenheid.
Training
4. Welke interne kennis en competenties zijn benodigd binnen informatie-beveiligings-management?
Training ISO 27001 normkennis
Een populaire training binnen het thema informatiebeveiliging is de ISO 27001 normkennis training
Kennis
Best gelezen blogs
BIV-classificatie
5. Wat zijn de drie basisprincipes van informatiebeveiliging?
<class=”wp-block-heading is-style-big” id=”5basis”>De drie basisprincipes van informatiebeveiliging</> zijn Beschikbaarheid, Integriteit en Vertrouwelijkheid (BIV). Deze staan voor:
- Beschikbaarheid: de informatie dient op de juiste momenten toegankelijk en bruikbaar te zijn op verzoek van een bevoegde entiteit.
- Integriteit: nauwkeurigheid en volledigheid van de beveiliging van bedrijfsmiddelen.
- Vertrouwelijkheid: informatie wordt niet beschikbaar gesteld of ontsloten aan onbevoegde personen, entiteiten of processen.
Een goed informatiebeveiligingsbeleid wordt geschreven aan de hand van een BIV-classificatie. Voor de verschillende classificaties gelden verschillende eisen en maatregelen waaraan het gebruik en de opslag van informatie dient te voldoen. Dataclassificatie wordt toegepast om informatie te kunnen labelen en er zo een bepaalde waarde aan toe te kennen om te bepalen welk niveau van bescherming nodig is. De classificatie van de data bepaalt dus de hoeveelheid maatregelen en mate van beveiligingseisen die genomen moeten worden om de informatie te beschermen.
Wet- en regelgeving
6. De NIB2-richtlijn
De Network and Information Security Directive (NIS2) is sinds 2023 in gebruik in de EU. De Nederlandse overheid is nog altijd druk bezig om deze EU-wetgeving door te vertalen naar nationale wetgeving: de NIB2-richtlijn. Naar verwachting is deze eind 2024 van kracht. De NIB2 is bedoeld om de cyberbeveiliging en de weerbaarheid van essentiële diensten te verbeteren. Voor veel organisaties is het daarom zaak, omdat het een eis is vanuit de wet, om cyberveiligheid en informatiebeveiliging op orde te brengen. Ook voor organisaties die niet direct onder de NIB2 vallen is het echter absoluut geen overbodige luxe om (het niveau van) cybersecurity te kijken. Ook kleinere organisaties lopen risico’s, zolang er geen maatregelen worden getroffen!
NIS2-ISO 27001 implementatiepakket
Hoe zorg je dat je tijdig voldoet aan de NIB2-eisen? Welke stappen moet je ondernemen? Het NIS2 – ISO 27001 implementatiepakket van CertificeringsAdvies Nederland (CAN) vormt een uitstekende basis om de NIS2 in je organisatie te implementeren. Met behulp van deze dienstverlening integreer je de NIS2 verplichtingen in je managementsysteem conform ISO 27001. Zo voldoe je tijdig aan de wetgeving. Wat je situatie ook is: wij adviseren en ondersteunen op maat.
Onze klanten aan het woord…
Strategisch niveau
7. Wat moet er in een informatie-beveiligsbeleid?
- Passend zijn voor het doel van de organisatie;
- Doelstellingen bevatten;
- Een verbintenis bevatten om te voldoen aan de eisen van informatiebeveiliging;
- En een verbintenis voor continue verbetering van het managementsysteem voor informatiebeveiliging.
8. Informatie-beveiliging en ISO 27001
De ISO 27001 norm heeft dezelfde herkenbare structuur als andere ISO normen: de Harmonized/High Level Structure (HLS). Dit is een overkoepelende structuur waardoor verschillende normen makkelijk in hetzelfde managementsysteem verwerkt kunnen worden. Naast ISO 27001 zijn er ook nog branche-specifieke normen op informatiebeveiligingsgebied. Zo is er de NEN 7510 voor informatiebeveiliging in de zorg en de Baseline Informatiebeveiliging Overheid (BIO) voor de overheid.
9. Informatiebeveiliging en ISO 27002
ISO 27002 is de formele benaming van de ‘Code voor Informatiebeveiliging’. Deze geeft richtlijnen en principes voor het initiëren, implementeren, onderhouden en verbeteren van informatiebeveiliging binnen een organisatie. De code bestaat uit twee delen; een norm (ISO 27001) en een handreiking (ISO 27002). Met behulp van de handreiking is het mogelijk om de informatiebeveiliging in de praktijk te implementeren.
ISO 27002 is dus een toelichtingen document op ISO 27001. ISO 27002 bestaat onder andere uit veertien hoofdstukken waarin concrete maatregelen op basis van best practices worden gegeven om de risico’s te beheersen. Het is echter niet mogelijk om je als organisatie te certificeren voor ISO 27002, omdat het geen managementstandaard is. De norm is ondersteunend aan ISO 27001.
In principe wordt iedere vijf jaar gekeken naar het actualiseren van een bepaalde norm. Voor ISO 27002 staat er in 2022 een update gepland.
- De huidige ISO 27002 norm verandert door samenvoeging en uitbreiding met 13 maatregelen.
- Het totaal aantal beheersmaatregelen gaat terug van 114 naar 93 (door samenvoeging).
- Bovendien bevat de nieuwe ISO 27002 norm meer meta-informatie.
- Zo wordt elke beheersmaatregel voorzien van ‘Attributes’ en gekoppeld aan één of meer ‘operational capability’. Daardoor wordt het makkelijker om in te schatten wie de verantwoording krijgt over een beheersmaatregel.
Bewustzijn en gedrag
10. Informatie-beveiliging awareness
dat gedrag van mensen zit een flinke uitdaging. Wanneer je naar de driehoek procedures, systemen en mensen kijkt, dan is de mens doorgaans de zwakste schakel. Uit onderzoek is zelfs gebleken dat zo’n 80% van alle informatiebeveiligings-incidenten binnen organisaties het gevolg zijn van verkeerd handelen van medewerkers (bron: CBS).
Security awareness (of informatiebeveiligingsbewustzijn) is de mate waarin medewerkers van je organisatie in staat zijn om informatiebeveiligings-incidenten te herkennen, te voorkomen en daarop actie te ondernemen. Om je data veilig te houden is het belangrijk dat medewerkers, van alle afdelingen en niveaus, zich bewust zijn van de gevaren, begrijpen waar mogelijke dreigingen zitten en de impact van (cyber)aanvallen op de organisatie en medewerkers inzien en hier ook naar gaan handelen. Het verhogen van het beveiligingsbewustzijn gaat immers gepaard met het kennisniveau, de houding en het gedrag van medewerkers. Om die reden dienen medewerkers continu getraind te worden zodat hun kennis wordt vergroot en zij eerder in kunnen grijpen bij een mogelijke dreiging. Dat kan bijvoorbeeld met een e-learning:
Een e-learning Security Awareness is een middel om bewustwording te creëren. Andere mogelijkheden zijn:
- Het (laten) organiseren van security awareness sessies;
- Informatiebeveiliging in persoonlijke doelen verwerken en structureel meenemen in meetings;
- Simulaties inzetten, zoals een phishing simulatie;
- Een vragenlijst op (laten) stellen, om te peilen hoe hoog het kennisniveau is en van daaruit gericht actie ondernemen op de grootste pijnpunten;
- Etc.
Risicoanalyse
11. Informatie-beveiliging maatregelen
Je dient continu te anticiperen en verbeteren om te kunnen inspelen op steeds weer veranderende risico’s vanuit de interne organisatie alsmede de externe omgeving. Door continue monitoring, verbetering, interne audits en corrigerende maatregelen blijven de controles in je managementsysteem up-to-date en daarmee dus functioneel. Zo is de veiligheid van informatie in je organisatie beter geborgd.
12. Management-systeem voor informatie-beveiliging (ISMS)
Uiteindelijk leg je in het ISMS een complete set aan beheersmaatregelen, processen en procedures vast met betrekking tot informatiebeveiliging om daarmee de beschikbaarheid, integriteit en vertrouwelijkheid (BIV) van informatie te controleren. Het ISMS bevat controles waarmee je de risico’s die voortkomen uit de risicoanalyse en die gerelateerd zijn aan mensen, processen en systemen beheersbaar maakt. Wanneer je op een transparante en wereldwijd aanvaardbare manier aan wilt tonen dat je de informatiebeveiliging binnen je organisatie op orde hebt, kun je dat ISMS laten toetsen en certificeren door een onafhankelijke partij.
Wettelijke verplichtingen
13. Wet- en regelgeving rondom informatie-beveiliging
Wanneer we het over wetgeving in relatie tot informatiebeveiliging en ISO 27001 hebben dan kun je denken aan wetgeving zoals:
- De Algemene Verordening Gegevensbescherming (AVG);
- De NIS2-Directive (of NIB2-richtlijn)
- De (recent gewijzigde) Telecommunicatiewet;
- Specifieke bepalingen uit het burgerlijk wetboek;
- Specifieke bepalingen uit het wetboek van strafrecht;
- De Wet bescherming bedrijfsgeheimen
- De wet op de ondernemingsraden (WOR);
- De Wet beveiliging netwerk- en informatiesystemen (Wbni) – voor vitale aanbieders;
- De Wet Huis voor klokkenluiders;
- Etc.
Maatwerk
14. Wat kost informatiebeveiliging?
Iedere organisatie is uniek en heeft dus een unieke aanpak nodig. Een logische conclusie is dus dat een informatiebeveiligingstraject, of specifiek een ISO 27001 certificering, altijd een maatwerktraject is. Dat geldt dus ook voor de kosten in tijd en geld die ermee gepaard gaan. De hoogte van de investering hangt bijvoorbeeld af van de grootte en complexiteit van de organisatie, maar ook van de hoeveelheid en met name de impact van de maatregelen die je moet treffen. Die worden bepaald door de risicoanalyse.
Wanneer je ervoor kiest om een consultant in de arm te nemen om je te coachen/ondersteunen dan komt daar ook een investering bij kijken. De hoogte daarvan is afhankelijk van de hoeveelheid werk die je wilt uitbesteden. Wanneer je jezelf wilt laten certificering, krijg je te maken met kosten voor de Certificerende Instantie (CI). Al met al is het dus een op maat optelsom.
Belangrijke rol
15. De (rol van de) Security Officer binnen informatie-beveiliging
<class=”wp-block-heading” id=”15rolso”>Wanneer je</> informatiebeveiliging en privacy binnen je organisatie serieus neemt, dan kun je er niet omheen om een Security Officer (SO) aan te stellen. Zeker wanneer je met de ISO 27001 norm, de norm voor informatiebeveiliging, aan de slag gaat. In de norm staat namelijk gedefinieerd dat je rollen en verantwoordelijkheden op het gebied van informatiebeveiliging dient te bepalen binnen je organisatie. Daarbij wel de opmerking dat informatiebeveiliging hand in hand gaat met het gedrag van iedereen binnen de organisatie en niet enkel een taak is van degene die een rol of verantwoordelijkheid op dit gebied toebedeeld krijgt. Wanneer je een SO aanstelt:
- Heeft die continu focus op verhogen van het niveau van informatiebeveiliging en borgen van vooruitgang op dat gebied;
- Voldoe je aan wensen/eisen van de buitenwereld: wanneer je namelijk met grote(re) organisaties samenwerkt, wordt er vaak om een SO gevraagd;
- Wordt er adequaat gehandeld wanneer er een incident of datalek plaatsvindt.
Vooropgesteld staat wel dat we het hebben over een rol, die ervoor zorgt dat bepaalde taken uitgevoerd worden. Deze rol hoeft niet per sé bij één (fulltime) persoon te liggen. Je kunt op verschillende manieren invulling geven aan die rol. Als we beveiligingsonderwerpen voorlopig even splitsen naar expliciete rollen (of afdelingen) dan is de volgende afbeelding een gangbare invulling.
Bron: Kwaliteit in Bedrijf
In 7 stappen op weg
16. Stappenplan informatie-beveiliging
Vervolgens neem je een lijst met bedreigingen door. Dit doe je met de informatiedragers en informatiesystemen in het achterhoofd. Per dreiging moet worden bepaald in welke mate de dreiging reëel is voor jouw bedrijf en wat je daaraan kunt doen. Wellicht voldoe je al voor een gedeelte aan de werkwijze van de ISO 27001 norm. De ontbrekende normelementen moeten worden beschreven en geïmplementeerd in het managementsysteem en in jouw bedrijfsvoering.
Het implementatieproces wordt afgerond met een laatste check om vast te stellen of je gereed bent voor ISO 27001 certificering. Daarnaast moet er een directiebeoordeling worden uitgevoerd. Wanneer alle zaken in orde zijn ben je klaar voor certificering. Die certificering voor ISO 27001 moet worden uitgevoerd door een erkende certificerende instantie. Na certificering ontvang je een certificaat dat 3 jaar geldig is. Daarnaast worden er jaarlijks controle audits uitgevoerd.
Samengevat komt dit neer op de volgende zeven stappen:
- Algemene inventarisatie & het bepalen van de scope.
- Opstellen beleid(scyclus)
- Inventarisatie van informatie en middelen
- Uitvoeren van de risicoanalyse en selecteren van maatregelen.
- Implementeren en monitoren van maatregelen.
- Uitvoeren van interne audits.
- Directiebeoordeling en correctieve acties.
ISO 27001 interne audit training
Wil je meer leren over de audit, zodat je zelf audits uit kunt voeren? Kijk dan eens naar onze ISO 27001 interne audit training.
17. Opstaptraject informatiebeveiliging
Wil je niet direct het hele traject doorlopen? Maar liever eerst op een laagdrempelige en toegankelijke manier een informatiebeveiligingsfundament leggen? Dan kan een ‘opstaptraject ISO 27001’ uitkomst bieden. Bij een opstaptraject maken we in overleg een selectie van enkele ‘basic’ beheersmaatregelen vanuit Annex A van ISO 27001. Met ‘basic’ bedoelen we de voor jouw organisatie meest essentiële en voor de hand liggende zaken waarop snel resultaat kan worden geboekt; het ‘laaghangend fruit’. Mocht je organisatie op die punten nog stappen moeten zetten, dan gaan we daarmee als eerste aan de slag. Indien een externe IT-leverancier de technische security van de organisatie beheert, dan pakken we dat samen met hen op.
Opstaptraject informatiebeveiliging
Meer weten over een dergelijk opstaptraject? Bekijk dan: Opstaptraject informatiebeveiliging: een eerste stap naar certificering.
Periodieke controle
18. Wat is een audit informatie-beveiliging?
Ongeacht het thema is het uitvoeren van interne audits een verplicht onderdeel in iedere managementsysteemnorm. Een ‘must’ dus voor iedere organisatie die gecertificeerd wil worden én blijven voor ISO 27001, NEN 7510, ISO 27701 of elke andere norm waar ‘Plan-Do-Check-Act’ centraal staat.
Ransomware voorkomen
19. Ransomware en ISO 27001
Ransomware wordt ook wel gijzelsoftware genoemd. Ransomware komt via een bestandje of door verouderde beveiliging op je computer. Het is dus belangrijk dat je dit voorkomt en je beveiliging up-to-date houdt! Wat kan je hieraan doen?
- Gebruik het meest recente besturingssysteem. Maak dus alleen gebruik van een versie van Windows die nog ondersteund wordt door Microsoft.
- Houd je programma’s actueel: door verouderde programma’s is je computer namelijk makkelijker te hacken.
- Klik niet op links in e-mails die je niet vertrouwd. Let hierbij goed op, want tegenwoordig zijn valse e-mails steeds moeilijker te herkennen.
Belangrijk is daarom dat je processen rondom informatiebeveiliging op orde zijn. Weet iedereen in het bedrijf wat hij of zij moet doen als er op een verkeerde link geklikt is? En is er een inventarisatie gemaakt van de belangrijkste informatie? Weet je hoe die beveiligd wordt?
Je kunt je processen rondom informatiebeveiliging naar een hoger niveau brengen door een ISMS te implementeren. De ISO 27001 norm geeft hier richtlijnen voor. Het is niet altijd nodig om ook daadwerkelijk voor de norm te certificeren, alhoewel je dan wel een aantal zaken aantoonbaar hebt geregeld, maar het is wel een handige gids.
Kom in contact met de partner in certificeren!
Meer informatie over de mogelijkheden?
Vraag direct en vrijblijvend een offerte op maat aan of neem contact met ons op!