Voor elke organisatie is het van groot belang om bedrijfsgevoelige informatie goed te beveiligen. Maar hoe staat uw organisatie er eigenlijk voor? Met onze quickscan krijgt u een indicatie hoe uw organisatie er qua informatiebeveiliging voor staat en welke punten extra aandacht nodig hebben.
Voor u een quickscan uitvoert, staan wij stil bij het belang van informatiebeveiliging en hoe u bewustwording creëert binnen uw organisatie. Maar u kunt ook direct naar de quickscan navigeren om deze in te vullen.
Voldoet uw organisatie aan de 7 basisprincipes van digitale hygiëne? Download ons gratis e-book “De 7 basisprincipes van digitale hygiëne” en kom erachter.
Lees verder onder de afbeelding.
Het belang van informatiebeveiliging
Waarom is het beschermen van informatie zo belangrijk? We zetten 3 punten voor u op een rij.
Bescherming tegen dreigingen van buitenaf en binnenuit
Het aantal cyberaanvallen in 2019 neemt toe. Daarom is het cruciaal om informatie zo goed mogelijk te beveiligen. Met een goede beveiliging wordt er minder snel ‘ingebroken’ door middel van hacks.
Persoonsgegevens beschermen: wettelijk verplicht
Een voorbeeld van waardevolle informatie zijn persoonsgegevens. Vaak ligt de focus van organisaties op het beveiligen van deze informatie. Door de actuele ontwikkelingen in de privacywetgeving is het niet alleen van belang, maar ook nog eens verplicht.
Deze wettelijke bescherming van de persoonsgegevens wordt voornamelijk aangeduid met de term Algemene Verordening Gegevensbescherming (AVG). Een stappenplan voor de implementatie van AVG vindt u op onze website.
Imago en reputatie
Uit onderzoek van Ernst & Young blijkt dat imago en reputatie de belangrijkste drijfveren zijn voor informatiebeveiliging. Een goede beveiliging zegt immers veel over uw organisatie. In het verleden zijn diverse organisaties met beveiligingsproblemen in opspraak gekomen, wat heeft geleid tot een slecht imago en vervolgens verlaagde reputatie. Daarbij creëert u met een goede reputatie een voorsprong op uw concurrentie: met goede informatiebeveiliging kunt u uw organisatie positief laten onderscheiden van ‘de rest’.
Hoe krijgt u uw organisatie mee?
Als u eenmaal op de hoogte bent van het belang van informatiebescherming, moet u hier ook naar handelen. Hieraan ligt een solide kernproces ten grondslag, bestaande uit 4 belangrijke stappen:
- Het inventariseren van de informatie;
- het analyseren van de risico’s;
- het implementeren van de maatregelen;
- en het controleren van de effectiviteit (van de maatregelen).
Organisatie en beleid
Om informatiebeveiliging succesvol te maken en onder controle te houden, moet het onderdeel worden van de organisatie en de cultuur. Dit kan door middel van een beleid waarin de informatiebeveiliging wordt opgenomen.
Voordat u hiermee start, is het belangrijk om draagvlak te creëren in de organisatie. Vervolgens doet u een risicoanalyse, waarin u diverse risicoscenario’s in kaart brengt. Hierna kunt u aan de slag met een actieplan waarin uw duidelijk maakt welke maatregelen u neemt als bedreigingen zich voordoen, en hoe u deze kunt voorkomen.
Maar een duidelijk beleid vraagt ook om duidelijke communicatie.
Communicatie met het personeel
Een belangrijk aspect is de bewustwording onder werknemers. Zij moeten het nut inzien van de beveiliging.
Daarnaast is het belangrijk dat de verantwoordelijke werknemers op de hoogte zijn van het beleid. Zij moeten bepalen wat voor invloed de (veranderende) wet heeft op hun processen en manier van werken.
Hoe staat uw organisatie ervoor? Doe de quickscan
Met de 5 vragen van onze quickscan kunt u zien hoe het er met uw informatiebeveiliging voorstaat. Bent u optimaal beveiligd of liggen er nog verbeterpunten?
1. Heeft u alle informatie in kaart gebracht?
- Ja, de meeste en belangrijkste informatie is bekend en daar zit best wel vertrouwelijke informatie bij
- Ik heb geen idee
- Ja, we weten van alle informatie hoe belangrijk de beschikbaarheid, integriteit en vertrouwelijkheid ervan is
- Wij werken niet met gevoelige informatie
Toelichting
Antwoord C is het beste antwoord, want het is van belang om alle (gevoelige) informatie in kaart te brengen en de waarde ervan te bepalen. In de optimale situatie heeft u duidelijkheid over de beschikbaarheid, integriteit en betrouwbaarheid van de informatie.
Koos u voor antwoord A? Dan bent u goed op weg, maar er liggen nog kansen ter verbetering. U dient namelijk alle informatie in kaart te brengen, zodat u optimale beveiliging kunt garanderen.
Heeft u antwoord B of D geantwoord? Dan vragen wij u om uw organisatie onder de loep te nemen. Elke organisatie heeft immers te maken met bedrijfsgevoelige informatie die beschermd dient te worden.
2. Heeft u een risicoanalyse uitgevoerd?
- Op basis van een risicoanalyse hebben wij alle benodigde maatregelen getroffen dus er zijn geen risico’s meer
- Wij hebben alle risico’s in kaart gebracht, maar weten niet wat de vervolgstappen zijn
- Ja, wij hebben een risicoanalyse uitgevoerd en op basis daarvan hebben wij passende maatregelen getroffen voor de belangrijkste risico’s
- Een risicoanalyse is niet nodig, want wij hebben geen risico’s omdat wij in de Cloud werken
Toelichting
Antwoord C is het beste antwoord en met antwoord B bent u op de goede weg. Nadat alle risico’s in kaart zijn gebracht, bepaalt u de aanpak per risico:
- Beheersen (met maatregelen)
- Overdragen (om risico te verminderen)
- Ontwijken (door opzoek te gaan naar een andere oplossing)
- Accepteren (van acceptabele risico’s met lage dreigingsniveaus)
Daarom is antwoord A niet per se goed: u hoeft namelijk - met een goede analyse - niet voor álle risico’s maatregelen te bedenken.
Heeft u antwoord D geantwoord? Dan vragen wij u nogmaals na te denken. Er zijn namelijk altijd risico’s verbonden aan informatiebeveiliging. Het kan zo zijn dat als u alles heeft beschermd, er toch iets misgaat. Daarom is het interessant om een risicoanalyse te doen. Hierin neemt u scenario’s en oplossingen op die zich voor kunnen doen, zodat u adequaat reageert bij een echt probleem.
3. Zijn uw medewerkers bij de beveiliging betrokken?
- Ja, alle medewerkers zijn op de hoogte van het belang van de informatie waarmee zij werken
- Ja, dat hebben wij ze direct verteld toen ze aangenomen werden
- Onze IT-medewerkers weten dit vanzelfsprekend wel, maar niet iedereen
- Geen idee, ik denk het niet
Toelichting
Het is al eerder in dit artikel genoemd, maar het personeel is een belangrijke factor om de beveiliging van de informatie succesvol te maken. Breng daarom de medewerkers tijdig op de hoogte van de informatiebeveiliging - en dat blijft uiteraard niet alleen bij het ‘meedelen’ nadat zij zijn aangenomen (antwoord B). U heeft hiervoor een gedegen beleid nodig.
Kortom, A is het beste antwoord.
Wilt u geen problemen met de uitvoering? Monitor dan waar werknemers tegenaan lopen en besteed hier aandacht aan. Bij kleinere ondernemingen zal de ICT-leverancier voornamelijk de verantwoordelijkheid hebben voor de beveiliging (antwoord C). Dit betekent echter alleen niet dat de medewerkers niet op de hoogte hoeven te zijn van het beleid.
4. Heeft u een actieplan voor incidenten?
- Ik heb geen idee, ik zou eens rond moeten vragen
- Er is gelukkig nooit een beveiligingsincident geweest, dus we hebben er geen nodig
- Toen er afgelopen keer een incident plaatsvond, trad het plan in werking en bleef de schade beperkt
- Volgens mij is er jaren geleden een plan opgesteld, maar ik weet niet of deze up-to-date is
Toelichting
Het is van belang om een actieplan te hebben voor incidenten - waardoor C het enige, juiste antwoord is. De beveiliging continu te monitoren en updates uit te voeren, mits dit niet al automatisch gaat, kan een onderdeel zijn van het actieplan.
Cybercriminelen gaan steeds geavanceerder te werk. Daarom is het van belang om uw plan regelmatig te controleren op relevantie en waar nodig bij te werken (goed om te weten als u antwoord A, B of D heeft gegeven).
5. Monitort en controleert u regelmatig de informatiebeveiliging?
- Volgens mij gebeurt dat wel eens, maar ik merk er nooit wat van
- Ja, we controleren regelmatig en ongevraagd of de maatregelen voldoen
- Nee, dat is in ons geval niet nodig
- Ja, ongevraagd controleren wij dat - zeker niet regelmatig, dat zou te makkelijk zijn
Toelichting
Het beveiligen van informatie is niet in één stap gemaakt. Met enkel een risicoanalyse en actieplan bent u dus nog niet klaar. U dient regelmatig de informatiebeveiliging te controleren want deze heeft structurele aandacht nodig. Daarom is niet D, maar B het juiste antwoord.
Bent u niet op de hoogte van de controle (antwoord A) of denkt u dat het voor uw organisatie niet nodig is (antwoord C)? Dan raden wij u aan om een vergadering in te plannen met het management en de IT-medewerkers om periodieke controles te introduceren en structuur te realiseren binnen de informatiebeveiliging.
Heeft u niet de bovenstaande punten toegepast bij uw informatiebeveiliging, of twijfelt u over uw toepassing? Neem dan contact met ons op. Of download gratis ons e-book “De 7 basisprincipes van digitale hygiëne” om te controleren of uw organisatie de basaal benodigde veiligheid waarborgt.