Informatiebeveiliging, wanneer doe je dit goed? 

‘Geen organisatie ontkomt aan goede beveiliging aanbrengen’

Informatiebeveiliging, wanneer doe je dit goed? Geen organisatie ontkomt eraan: het steeds beter moeten beveiligen van bedrijfs- en klantinformatie. Enerzijds om wettelijke, regelgevende en contractuele verplichtingen na te komen, anderzijds om imagoschade, boetes en faillissement te voorkomen. Maar hoe doe je dat, het steeds beter beveiligen van informatie?

Informatiebeveiliging

‘Informatiebeveiliging’ gaat over het behoud van de vertrouwelijkheid, de juistheid en de beschikbaarheid van informatie. ‘Informatiebeveiliging’ moet bijvoorbeeld zorgen dat de persoonsgegevens van de inwoners van Hellevoetsluis niet op straat komen te liggen, dat ING correcte banksaldo’s laat zien, en dat de systemen van KPN voor het noodnummer 112 beschikbaar blijven.

Informatiebeveiliging als zodanig is niet zo relevant. Het is een voortdurend proces: risico’s afwegen én informatie beveiligen. Toetsen – implementeren – toetsen enzovoorts. Steeds opnieuw.

ISO 27001 is een hulpmiddel

De norm ISO 27001 is een document van ongeveer 30 pagina’s dat u kunt aanschaffen via de webshop van NEN. In dit document staan eisen voor het inrichten, implementeren, onderhouden en voortdurend verbeteren van een ‘managementsysteem voor informatiebeveiliging’. Mits goed geïmplementeerd, kan dit systeem u helpen bij het kiezen en op peil houden van de noodzakelijke maatregelen voor informatiebeveiliging. ISO 27001 certificering is geen doel op zich. Het is een hulpmiddel om de risico’s in uw bedrijf in kaart te brengen.

Leestip: In het handboek ISO 27001 van Cees van der Wens wordt uitgebreid ingegaan op dit onderwerp. Hier te bestellen.

Ben je ooit te klein of te groot voor ISO 27001 certificering?

Alle ondernemingen hebben als doelstelling om het steeds beter te doen, in omzet, opbrengst of kwaliteit. Maar in de basis willen ze vooral: in business blijven. ISO 27001 helpt om risico’s in kaart te brengen. Want in het uiterste geval kunnen er risico’s zijn die het voortbestaan van je organisatie in gevaar brengen.

En juist dat is de achterliggende motivatie om je zaken op orde te hebben. Een hack is natuurlijk vervelend, ook als je niet het slachtoffer bent van gijzelsoftware of erger. Maar wat als daardoor alle patiëntgegevens uitlekken? Of alle websites van je hostingbedrijf uit de lucht zijn? Dan kan dit leiden tot het failliet van je bedrijf. Je moet er niet aan denken. Of juist wél dus.

Beheersmaatregelen: Hoe verklein ik risico’s?

De eerste stap om risico’s ten aanzien van informatiebeveiliging te beheersen, is het nemen van passende maatregelen. Denk aan procedures, beleid, voorzieningen, werkwijzen of andere maatregelen die risico’s moeten beperken. Veel organisaties hebben, bewust of onbewust, vaak honderden maatregelen geïmplementeerd, en toch zijn ze niet altijd goed beveiligd. Hoe komt dat?

De technische en organisatorische maatregelen om informatiebeveiliging op peil te houden, zitten veelal verstopt in de bedrijfsprocessen. Pas als je er actief onderzoek naar doet, blijkt of ze voldoen aan alle eisen en of ze doeltreffend geïmplementeerd en onderhouden zijn. Worden procedures correct en op tijd uitgevoerd? Worden IT-systemen op tijd van nieuwe patches voorzien? Kijkt er wel eens iemand naar de logfiles? Worden toegangsrechten inderdaad meteen ingetrokken?

Kortom, je kunt het als organisatie nog zo mooi hebben bedacht, maar wat garandeert nu dat het allemaal op de juiste manier gebeurt? Het antwoord op die vraag is: een ‘managementsysteem voor informatiebeveiliging’ volgens de internationale norm ISO 27001.

‘Informatiebeveiliging is te complex en te belangrijk geworden voor een ad hoc aanpak’

Maatregelen treffen deed u natuurlijk al lang, maar kwamen die voort uit een weldoordachte risicoanalyse? Vindt er binnen uw organisatie een systematische monitoring plaats op het uitvoeren van alle noodzakelijke taken? Heeft u een goede beheersing van alle uitbestede processen? Voert u regelmatig interne audits uit om informatie te verkrijgen over de doeltreffendheid van uw maatregelen? Is de directie voldoende betrokken bij informatiebeveiliging? En kunt u dit allemaal aantonen?

Zo ja, dan kunt u wellicht gemakkelijk een ISO 27001-certificaat behalen. Zo nee, dan helpen we u graag bij het implementeren van een passend managementsysteem.

Informatiebeveiliging is te complex en te belangrijk geworden voor een ad hoc aanpak. Daarom besluiten steeds meer organisaties om hun informatiebeveiliging systematisch te gaan managen. Wie de norm ISO 27001 goed begrijpt, kan een systeem inrichten dat perfect past bij de activiteiten, doelstellingen en verplichtingen van een organisatie, en dat binnen een aantal maanden gecertificeerd kan worden.

 Wil je meer zekerheid over jouw aanpak?

‘Download dan onze gratis whitepaper over managen van informatiebeveiliging.’