Wat is informatiebeveiliging?

Digitalisering en toenemend belang van informatietechnologie maken bedrijfsresultaten steeds afhankelijker van de beschikbaarheid, integriteit en vertrouwelijkheid (BIV) van informatie. Informatieverwerking vindt op steeds grotere schaal plaats, evenals dat er steeds vaker data/ informatie wordt uitgewisseld met andere partijen. Informatie is voor organisaties van grote waarde en daardoor interessant voor kwaadwillenden. Je wilt niet dat je informatie op straat komt te liggen. Om die reden kan geen enkele organisatie meer om informatiebeveiliging(smanagement) heen. Er niet mee aan de slag gaan is geen optie meer. Voor organisaties is het noodzaak dat zij actief aan de slag gaan met een digitale strategie, waarin informatiebeveiliging een belangrijke plaats inneemt. Betrouwbare, veilige en efficiënte IT-middelen zijn een must, evenals bewustzijn van de waarde van informatie en het vertonen van het daarbij passende gedrag.

Maar wat is informatiebeveiliging precies? En hoe verschilt het bijvoorbeeld van privacy of cybersecurity? Wat zijn relevante certificeringen met het oog op informatiebeveiliging? Op die vragen, en meer, wordt in dit artikel antwoord gegeven.

Wat is informatiebeveiliging? Laten we met die vraag beantwoorden eens beginnen:

Informatiebeveiliging is, het geheel van beleid, maatregelen, procedures en processen, waarmee het behouden van de beschikbaarheid, integriteit en vertrouwelijkheid (BIV-classificatie) van informatie wordt gegarandeerd. Daarnaast kunnen ook andere eigenschappen, zoals authenticiteit, verantwoording, onweerlegbaarheid en betrouwbaarheid hierbij een rol spelen. Doel van informatiebeveiliging is de continuïteit van de informatievoorziening borgen, risico’s minimaliseren en beveiligingsincidenten beperken of zelfs voorkomen.

Ondanks dat veel organisaties, zo blijkt uit onderzoek, cybercrime als groot risico zien, zijn er nog maar weinig organisaties die de informatiebeveiliging echt op orde hebben. Terwijl het in onze optiek allang geen onderscheidende factor meer is, maar juist noodzakelijk om in de (nabije) toekomst mee te kunnen blijven doen als organisatie.

Organisaties verwerken namelijk op steeds grotere schaal informatie, die o.a. bestaat uit persoonsgegevens, bedrijfsgevoelige informatie, informatie van klanten, leveranciers en intellectueel eigendom, die waardevol of ondersteunend is aan informatiesystemen en -processen. Het verwerken van die informatie brengt risico’s met zich mee en om die reden moet er aandacht zijn voor informatiebeveiliging. Informatie moet goed beveiligd worden, waardoor ongewenste toegang en verwerking/vernietiging van informatie wordt voorkomen.

Informatiebeveiliging gaat over het beschermen van informatie waarvan je hebt vastgesteld dat deze belangrijk is voor de organisatie. Hoe goed je informatie echter ook beveiligd is, het gedrag van je medewerkers speelt een ontzettend belangrijke rol om de informatieveiligheid van je organisatie uiteindelijk te kunnen waarborgen. De factor ‘bewustwording’ mag daarom zeker niet vergeten worden.

Je kunt immers een beleid opstellen, een managementsysteem inrichten etc., maar zolang je medewerkers er niet naar handelen en het belang van informatiebeveiliging niet inzien, is er nooit het gewenste effect. Het is zaak dat iedereen binnen een organisatie betrokken wordt bij informatiebeveiliging en informatiebeveiliging net zo vanzelfsprekend wordt als andere disciplines. De kunst is om informatiebeveiliging op een laagdrempelige manier te integreren in de dagelijkse werkzaamheden, zodat iedereen er bewust bij stilstaat.

Dit kun je o.a. doen door:

Op het gebied van certificeringen rondom informatiebeveiliging zijn een aantal relevante normen te benoemen. De ISO 27001 norm is in de markt algemeen geaccepteerd als de referentie om informatiebeveiliging in een organisatie aantoonbaar te maken. De norm biedt een werkbaar, praktisch kader om betrouwbaarheid, integriteit en vertrouwelijkheid (BIV) van informatie in een organisatie te implementeren en een organisatie cyberweerbaar(der) te maken. Wanneer je het informatiebeveiligingsmanagementsysteem (ISMS) laat certificeren, dan toon je als organisatie aan dat je aan de Europese normenstandaard voldoet.

Andere normen die relevant zijn met het oog op informatiebeveiliging zijn bijvoorbeeld ISO 27701, NEN 7510 voor zorginstellingen, BIO in relatie tot overheidsinstellingen etc.

Met regelmaat wordt de vraag gesteld wat nu eigenlijk het verschil is tussen informatiebeveiliging en privacy? Die vraag is in één zin te beantwoorden: Gegevensbescherming (privacy) beschermt mensen binnen je organisatie, waar informatiebeveiliging de organisatie beschermt. Informatiebeveiliging omvat namelijk alle gegevens (financieel, productontwerpen, klantdata etc.) van een organisatie, waar gegevensbescherming enkel over persoonsgegevens gaat en daarmee dus een stuk beperkter is. Gegevens die direct iets zeggen over een bekende of te herleiden persoon, worden onder het privacybeleid geschaard.

Het privacybeleid heeft als doel rechten en vrijheden van natuurlijke personen beschermen (zowel binnen als buiten de organisatie) tegen misbruik van gegevens. Het informatiebeveiligingsbeleid heeft als doel de continuïteit van de organisatie borgen, waarmee wordt voorkomen dat gevoelige informatie in verkeerde handen valt. Daarnaast richt dit beleid zich op het oplossen van incidenten (datalekken).

Een andere vraag die vaak boven tafel komt is: wat is het verschil tussen cybersecurity en informatiebeveiliging? In feite beschermt cybersecurity waardevolle informatie, die zich in de cyberspace bevindt, tegen buitenstaanders en kwaadwillenden (hackers ed.). Vanuit cybersecurity wordt getracht om te borgen dat digitale informatie alleen toegankelijk is voor daartoe bevoegde personen.

Informatiebeveiliging beschermt informatie niet alleen tegen toegang voor onbevoegden, maar ook tegen ongeoorloofd gebruik, toegang, wijziging of vernietiging. Dat geldt niet alleen voor digitale informatie, die zich in de cyberspace bevindt, maar ook voor fysieke data (bijv. in een archiefkast). En dat laatste is een belangrijk verschil met cybersecurity wat niet over fysieke data gaat.

In dit artikel is antwoord gegeven op de vraag ‘wat is informatiebeveiliging?’ en diverse andere gerelateerde vragen. Essentie van dit artikel is dat organisaties nu echt de volgende stap moeten maken op het gebied van informatiebeveiliging om in de (nabije) toekomst mee te kunnen blijven doen in het veranderende speelveld.

Dat kan alleen als:

Dit vraagt om een flinke dosis pro-activiteit en positiviteit. Enkel wanneer het vakgebied op die manier wordt benaderd, met samenwerking over disciplines heen, zal het leiden tot betere bedrijfsresultaten en gaan mensen de nut en noodzaak ervan inzien.

Wil je meer informatie over informatiebeveiliging of een gerelateerde bedrijfsnorm? Of gewoon eens sparren over de mogelijkheden voor jouw organisatie? Neem dan gerust contact met ons op!