Informatie-beveiliging

Het is essentieel om dagelijks aandacht te blijven geven aan informatiebeveiliging; je wilt immers niet dat informatie in verkeerde handen komt. Risicomanagement en -analyses zijn dan ook regelmatig terugkerende onderdelen om de informatiebeveiliging binnen je organisatie te waarborgen. Zo kun je voorkomen dat je organisatie bepaalde risico’s loopt. Kortom, een digitale strategie met belangrijke plaats voor informatiebeveiliging is pure noodzaak geworden. Betrouwbare, veilige en efficiënte IT-middelen zijn een must. Bewustzijn van de waarde van informatie en het vertonen van daarbij passend gedrag eveneens.

Daarnaast komt er steeds meer wet- en regelgeving op het gebied van informatiebeveiliging, zowel op nationaal als Europees niveau. Denk bijvoorbeeld aan de Algemene Verordening Gegevensbescherming (AVG) of de NIS2-wetgeving. Die ontwikkelingen benadrukken dat informatiebeveiliging steeds relevanter en belangrijker wordt. Wanneer je in het bezit bent van een ISO 27001 certificering, dan heb je in elk geval geborgd dat je relevante wet- en regelgeving op het gebied van informatiebeveiliging grotendeels naleeft.

Uit onderzoek blijkt dat cybercrime als groot risico wordt gezien door veel organisaties. Verbazingwekkend genoeg hebben veel organisaties de informatiebeveiliging nog niet (goed) op orde. Onze visie: aantoonbare beheersing van informatiebeveiliging (door middel van ISO 27001 certificering of vergelijkbaar) is geen onderscheidende factor meer, maar noodzakelijk. Om in de toekomst mee te kunnen blijven doen als organisatie, dien je een volgende stap te zetten op het vlak van informatiebeveiliging: van ‘hygiënefactor’ naar integratie in je DNA.

De volwassenheid van informatiebeveiliging bepaalt mede het succes van vandaag en morgen. Goed is op termijn niet meer goed genoeg. Organisaties die op het eerste of tweede niveau blijven steken (zie afbeelding hieronder), prijzen zichzelf uit de markt. Op niveau drie wordt voldaan, maar onderscheidt de organisatie zich nauwelijks (meer). Niveau vier is op dit moment onderscheidend, maar in de nabije toekomst een basisvoorwaarde om mee te blijven doen.

<class=”wp-block-heading is-style-big” id=”5basis”>De drie basisprincipes van informatiebeveiliging</> zijn Beschikbaarheid, Integriteit en Vertrouwelijkheid (BIV). Deze staan voor:

De Network and Information Security Directive (NIS2) is sinds 2023 in gebruik in de EU. De Nederlandse overheid is nog altijd druk bezig om deze EU-wetgeving door te vertalen naar nationale wetgeving: de NIB2-richtlijn. Naar verwachting is deze eind 2024 van kracht. De NIB2 is bedoeld om de cyberbeveiliging en de weerbaarheid van essentiële diensten te verbeteren. Voor veel organisaties is het daarom zaak, omdat het een eis is vanuit de wet, om cyberveiligheid en informatiebeveiliging op orde te brengen. Ook voor organisaties die niet direct onder de NIB2 vallen is het echter absoluut geen overbodige luxe om (het niveau van) cybersecurity te kijken. Ook kleinere organisaties lopen risico’s, zolang er geen maatregelen worden getroffen!

Er zijn een aantal verschillende manieren en systemen om informatiebeveiliging in een organisatie te integreren. Het meest bekende systeem is vastgelegd in de ISO 27001 norm voor informatiebeveiliging. In de norm staat omschreven hoe een organisatie haar informatiebeveiliging procesmatig kan inrichten. Een ISO 27001 certificaat wordt uitgegeven door een Certificerende Instantie (CI).

De ISO 27001 norm heeft dezelfde herkenbare structuur als andere ISO normen: de Harmonized/High Level Structure (HLS). Dit is een overkoepelende structuur waardoor verschillende normen makkelijk in hetzelfde managementsysteem verwerkt kunnen worden. Naast ISO 27001 zijn er ook nog branche-specifieke normen op informatiebeveiligingsgebied. Zo is er de NEN 7510 voor informatiebeveiliging in de zorg en de Baseline Informatiebeveiliging Overheid (BIO) voor de overheid.

Met name rondom
dat gedrag van mensen zit een flinke uitdaging. Wanneer je naar de driehoek procedures, systemen en mensen kijkt, dan is de mens doorgaans de zwakste schakel. Uit onderzoek is zelfs gebleken dat zo’n 80% van alle informatiebeveiligings-incidenten binnen organisaties het gevolg zijn van verkeerd handelen van medewerkers (bron: CBS).

Security awareness (of informatiebeveiligingsbewustzijn) is de mate waarin medewerkers van je organisatie in staat zijn om informatiebeveiligings-incidenten te herkennen, te voorkomen en daarop actie te ondernemen. Om je data veilig te houden is het belangrijk dat medewerkers, van alle afdelingen en niveaus, zich bewust zijn van de gevaren, begrijpen waar mogelijke dreigingen zitten en de impact van (cyber)aanvallen op de organisatie en medewerkers inzien en hier ook naar gaan handelen. Het verhogen van het beveiligingsbewustzijn gaat immers gepaard met het kennisniveau, de houding en het gedrag van medewerkers. Om die reden dienen medewerkers continu getraind te worden zodat hun kennis wordt vergroot en zij eerder in kunnen grijpen bij een mogelijke dreiging. Dat kan bijvoorbeeld met een e-learning:

Iedere organisatie is uniek. Net als de informatie binnen iedere organisatie. En daarmee dus ook de risico’s op informatieverlies. De beveiliging van je informatie wordt daarom gebaseerd op een risicoanalyse. Op basis daarvan neem je maatregelen. Door het treffen van deze maatregelen, is het mogelijk de kans en/of de impact van het risico te verlagen. Hierbij wordt altijd een afweging gemaakt tussen de kosten van de maatregelen en het risico.

Je dient continu te anticiperen en verbeteren om te kunnen inspelen op steeds weer veranderende risico’s vanuit de interne organisatie alsmede de externe omgeving. Door continue monitoring, verbetering, interne audits en corrigerende maatregelen blijven de controles in je managementsysteem up-to-date en daarmee dus functioneel. Zo is de veiligheid van informatie in je organisatie beter geborgd.

Als organisatie ben je verplicht om te voldoen aan de (inter)nationale wet- en regelgeving van het land/de landen waarin je operationeel bent. Doe je dat niet, dan ben je nalatig. Dat geldt dus ook met betrekking tot wet- en regelgeving rondom het thema informatiebeveiliging en specifiek de ISO 27001 norm. Voor organisaties die informatiebeveiliging serieus oppakken, kent ISO 27001 nog een expliciete eis omtrent naleving die terug te vinden is in de zogenaamde Annex A, hoofdstuk 18. Daarin staat dat een organisatie die een informatie-beveiligingsmanagementsysteem (ISMS) heeft ook moet weten welke wetten relevant zijn voor informatiebeveiliging. Net zoals een organisatie moet voldoen aan (beveiligings)eisen die vastliggen in contracten (belofte aan klanten moet worden gerealiseerd). Deze eisen moet de organisatie handhaven.

<class=”wp-block-heading” id=”15rolso”>Wanneer je</> informatiebeveiliging en privacy binnen je organisatie serieus neemt, dan kun je er niet omheen om een Security Officer (SO) aan te stellen. Zeker wanneer je met de ISO 27001 norm, de norm voor informatiebeveiliging, aan de slag gaat. In de norm staat namelijk gedefinieerd dat je rollen en verantwoordelijkheden op het gebied van informatiebeveiliging dient te bepalen binnen je organisatie. Daarbij wel de opmerking dat informatiebeveiliging hand in hand gaat met het gedrag van iedereen binnen de organisatie en niet enkel een taak is van degene die een rol of verantwoordelijkheid op dit gebied toebedeeld krijgt. Wanneer je een SO aanstelt:

Het implementatieproces wordt afgerond met een laatste check om vast te stellen of je gereed bent voor ISO 27001 certificering. Daarnaast moet er een directiebeoordeling worden uitgevoerd. Wanneer alle zaken in orde zijn ben je klaar voor certificering. Die certificering voor ISO 27001 moet worden uitgevoerd door een erkende certificerende instantie. Na certificering ontvang je een certificaat dat 3 jaar geldig is. Daarnaast worden er jaarlijks controle audits uitgevoerd.

Samengevat komt dit neer op de volgende zeven stappen:

1. 1. Algemene inventarisatie & het bepalen van de scope.
   2. Opstellen beleid(scyclus)
   3. Inventarisatie van informatie en middelen
   4. Uitvoeren van de risicoanalyse en selecteren van maatregelen.
   5. Implementeren en monitoren van maatregelen.
   6. Uitvoeren van interne audits.
   7. Directiebeoordeling en correctieve acties.

Ransomware wordt ook wel gijzelsoftware genoemd. Ransomware komt via een bestandje of door verouderde beveiliging op je computer. Het is dus belangrijk dat je dit voorkomt en je beveiliging up-to-date houdt! Wat kan je hieraan doen?

• Gebruik het meest recente besturingssysteem. Maak dus alleen gebruik van een versie van Windows die nog ondersteund wordt door Microsoft.
• Houd je programma’s actueel: door verouderde programma’s is je computer namelijk makkelijker te hacken.
• Klik niet op links in e-mails die je niet vertrouwd. Let hierbij goed op, want tegenwoordig zijn valse e-mails steeds moeilijker te herkennen.

Belangrijk is daarom dat je processen rondom informatiebeveiliging op orde zijn. Weet iedereen in het bedrijf wat hij of zij moet doen als er op een verkeerde link geklikt is? En is er een inventarisatie gemaakt van de belangrijkste informatie? Weet je hoe die beveiligd wordt?

Je kunt je processen rondom informatiebeveiliging naar een hoger niveau brengen door een ISMS te implementeren. De ISO 27001 norm geeft hier richtlijnen voor. Het is niet altijd nodig om ook daadwerkelijk voor de norm te certificeren, alhoewel je dan wel een aantal zaken aantoonbaar hebt geregeld, maar het is wel een handige gids.