English English
Nederlands Nederlands
Naar de homepage

Het internet is meer aanwezig dan ooit. Vrijwel iedere organisatie maakt wel gebruik van een e-mailclient, website en andere online hulpmiddelen zoals een CRM-systeem. Dit betekent dat een grote hoeveelheid informatie digitaal en online wordt opgeslagen en uitgewisseld. Dit dient veilig te gebeuren en kan alleen op basis van strikte informatiebeveiliging.

Het goed vormgeven van informatiebeveiliging omvat het toepassen van een groot aantal maatregelen om de risico’s te verkleinen.

Het is voor organisaties onvoldoende om enkel te weten dat zij aan informatiebeveiliging moeten doen, zij dienen handvatten ter beschikking te hebben die hen helpen bij de uitvoering van bedrijfsprocessen, interne bedrijfsvoering en het nemen van strategische beslissingen.

 

Wat is informatiebeveiliging?

Informatiebeveiliging is simpel gezegd: het in kaart brengen en beoordelen van alle processen rondom informatie binnen een organisatie. Dit wordt vaak gedaan door middel van een Information Security Management System (ISMS). Hiermee worden, onder andere, processen vastgesteld en regelmatig gecontroleerd op potentiële risico’s of dreigingen.

Voor veel organisaties is informatiebeveiliging eerder een last dan een zegen. Werknemers hebben het gevoel beperkt te worden in de flexibiliteit van de uitvoer van hun werkzaamheden. Daarnaast besteedt de media ook zo veel aandacht aan privacybescherming en informatiebeveiliging, dat er in sommige situaties zelfs aversie tegen het onderwerp ontstaat.

 

Waarom is informatiebeveiliging belangrijk?

Toch is informatiebeveiliging hard nodig. In de afgelopen jaren heeft ruim vier op de tien ondernemingen te maken gehad met cybercrime. Het werkelijke aantal getroffen organisaties ligt waarschijnlijk veel hoger, bijvoorbeeld omdat bijna 10 procent van de organisaties geen idee heeft of er überhaupt een datalek binnen de organisatie heeft plaatsgevonden.

Uw informatiebeveiliging onder controle houden is geen eenvoudige opgave. Om de beveiliging te waarborgen, dient u immers het proces structureel te doorlopen. Maar hoe pakt u dit het beste aan? In deze 8 stappen houdt u grip op uw beveiligingszaken.

 

Alles over informatiebeveiliging gebundeld.

Download e-book

Basiskennis van informatiebeveiliging

Informatiebeveiliging is een breed begrip. Veel zaken binnen uw organisatie vallen hieronder. Als u wilt beginnen met informatiebeveiliging, kan de omvang u afschrikken.

Om te beginnen bij de basis van informatiebescherming, gaan wij dieper in op het kernproces. Te vaak wordt gedacht dat informatiebeveiliging een eenmalige taak is. Dit is echter niet het geval. Het kernproces dient herhaald doorlopen te worden en bestaat uit de volgende stappen:

  1. Inventariseren van informatie en de waarde voor alle belanghebbenden (= vaststellen van "kroonjuwelen")
  2. Analyseren van risico’s t.a.v. deze informatie
  3. Implementeren van maatregelen om de risico's te verminderen
  4. Controleren van effectiviteit van de maatregelen

Wat zijn de 3 basisprincipes van informatiebeveiliging?

In de loop der tijd zijn er steeds meer betrouwbaarheidseisen rondom informatiebeveiliging ontstaan. Zo zijn er onder andere drie basisprincipes van informatieveiligheid en wetgevingen (zoals de AVG) in het leven geroepen.

Om het beoogde niveau van uw informatiebeveiliging te kunnen vaststellen, zullen de betrouwbaarheidseisen waaraan moet worden voldaan worden vastgesteld. Over het algemeen wordt deze classificatie volgens de BIV-indeling gedaan, waarbij wordt gekeken naar de volgende drie aspecten:

  • Beschikbaarheid. Geautoriseerde gebruikers hebben op de juiste momenten toegang tot informatie en/of systemen.
  • Integriteit.Het waarborgen van de juistheid, tijdigheid (actualiteit) en volledigheid van informatie en de verwerking hiervan.
  • Vertrouwelijkheid.Het waarborgen van de toegankelijkheid van informatie voor enkel degene die hiertoe zijn geautoriseerd.
mockup-axxemble2-2

Informatiebeveiliging en privacy

Informatiebeveiliging en privacy gaan hand in hand. Het ene kan feitelijk niet zonder het andere. Met de komst van de AVG is de bewustwording groter geworden en worden er meer eisen gesteld aan de beveiliging van informatie.

Zoals hierboven al aangegeven zijn privacy en informatiebeveiliging nauw met elkaar verbonden. Immers, privacybescherming gaat over de vertrouwelijkheid van persoonsgegevens en hoe deze te beschermen - beveiliging van informatie dus. Anderzijds bevat vrijwel alle informatie meer of minder gevoelige persoonsgegevens en is bescherming van de privacy van betrokkenen dus een aspect om rekening mee te houden.

Wat is het verschil tussen informatiebeveiliging en privacy?

Toch zijn er ook verschillen tussen privacy en informatiebeveiliging te onderscheiden:

  • Informatiebeveiliging gaat primair over beschikbaarheid, integriteit en vertrouwelijkheid van informatie in processen en systemen.
  • Privacybescherming gaat over rechten van betrokkenen, rechtmatigheid van de verwerking, transparantie en bescherming van persoonsgegevens

Risicomanagement

Het is belangrijker dan ooit om risico’s en dreigingen in kaart te brengen. Door alle digitale mogelijkheden is het belangrijk om informatie op een goede manier te beveiligen.

Er zijn talloze dreigingen die ervoor kunnen zorgen dat uw organisatie in de problemen komt. Dreigingen die belangrijk zijn voor het risicomanagement van uw informatiebeveiliging zijn onder andere:

  1. Incidenten en incidentafhandeling
  2. Misbruik
  3. Ongeautoriseerde toegang
  4. Uitwisselen en bewaren van informatie
  5. Mobiele apparatuur en telewerken
  6. Systeem- en gebruikersfouten
  7. Fysieke beveiliging
  8. Verantwoordelijkheid
  9. Wet- en regelgeving
  10. Bedrijfscontinuïteit

Deze dreigingen kunnen als gevolg hebben dat bepaalde incidenten binnen uw organisatie plaatsvinden waardoor uw organisatie schade leidt in de vorm van kosten, omzet of imago.

Door alle digitale mogelijkheden is het belangrijk om informatie op een goede manier te beveiligen. Met het in kaart brengen bereidt u zich goed voor op mogelijke gevolgen en kunt u eventueel het risico die de dreigingen met zich meenemen verkleinen.

Meer dan 40 pagina's over informatiebeveiliging.

Download e-book

Risicoanalyse informatiebeveiliging

Vanaf het moment dat er gestart wordt met ondernemen, ontstaan er mogelijkheden voor dreigingen en risico’s omtrent informatieveiligheid. Om gevoelige informatie te beschermen is een adequate risicobeheersing binnen een organisatie van belang. Maar wat is een goede manier om risico’s binnen informatiebeveiliging te identificeren en te beheersen?

De meest praktische manier om risico's binnen informatiebeveiliging te identificeren en beheersen is met behulp van een Information Security Management Systeem (ISMS) gebaseerd op bijvoorbeeld de ISO 27001. Een ISMS omvat alle zaken en de werkwijze voor het beveiligen van alle (vertrouwelijke) informatie binnen uw organisatie. Dit wordt vaak ondersteund met gebruik van een ISMS-tool, zoals Base27.

Wanneer een organisatie werkt met informatie zullen er altijd risico’s op de loer liggen. Dit is bij elke organisatie het geval, denk bijvoorbeeld aan persoonsgegevens, procesinformatie of handleidingen van een bepaald product of dienst. Als organisatie wilt u de risico’s beperken. Maar hoe weet u welke risico’s er zijn? Daarvoor kunt u een risicoanalyse informatiebeveiliging uitvoeren.

 

Uitvoeren risicoanalyse

Het is belangrijk om een risicoanalyse met een groep betrokken/ervaringsdeskundige mensen uit te voeren (en dus niet door één of twee pers(o)on(en)). Hiermee wordt een scherper beeld gekregen van de risico’s, kan er discussie ontstaan en is het eindresultaat vaak vollediger en betrouwbaarder. Ook levert het een goed startpunt voor het nemen van maatregelen voor de risico’s; er is meer begrip en draagvlak.

De belangrijkste punten op een rij:

  1. Maak afspraken over kans en impact voor de organisatie met betrekking tot risico’s;
  2. Stel de scope vast voor een risicoanalyse;
  3. Wijs een verantwoordelijke aan (op basis van de scope);
  4. Betrek betrokken/ervaringsdeskundige personen bij de analyse;
  5. Kies indien gewenst een geschikt dreigingsmodel;
  6. Identificeer risico’s voor relevante dreigingen en stel de kans en impact vast;
  7. Neem maatregelen voor de niet-acceptabele risico’s.

Dreigingen in perspectief

Bij maar liefst 70% van alle incidenten rondom informatiebeveiliging blijkt het handelen van eigen personeel onderdeel van de oorzaak te zijn. Denk hierbij aan het verlies van een laptop of telefoon, het klikken op een link vanuit een spam e-mail of het versturen van gevoelige informatie aan de verkeerde persoon.

Natuurlijk is er ook op technisch vlak een belangrijk risico, waarbij maatregelen van vandaag onvoldoende kunnen zijn voor de dreigingen van morgen.

Zeker voor kleinere organisaties is het lastig om in deze dynamiek een passend antwoord te hebben. De uitdaging schrikt af en maakt onzeker over wat nodig is en hoe dit te realiseren. De kennis hiervoor is vaak onvoldoende en ook tijd en kosten vormen een forse drempel.

De keuze weinig of niets te doen ligt dan voor de hand en het risico op schade als gevolg van dergelijke incidenten dan maar te accepteren. Ondernemen is immers risico nemen.

Toch behoeven kosten en tijd voor een adequaat niveau van beveiliging niet groot te zijn en kunnen zelfs een besparing vormen. Zet u de potentiële schade uit tegen de kosten van preventie, dan is er een duidelijk optimum.

 

Optimum

Het niveau van maatregelen en de kosten die u maakt, bent u als ondernemer gewend om af te wegen tegen de baten: besparingen bij eventuele incidenten. Die potentiële schade is voor elke organisatie anders en dat geldt ook voor het niveau van de te nemen maatregelen. Ter indicatie: voor MKB bedrijven geldt dat zij gemiddeld bijna €79.000 kwijt zijn per digitale inbraak.

Optimum EN

Informatiebeveiliging bewustwording

Bewustzijn van de risico’s rondom informatiebeveiliging is voor organisaties van essentieel belang. Toch is informatiebeveiliging veel omvangrijker dan vaak wordt gedacht. Niet gek dat er soms essentiële onderdelen over het hoofd worden gezien.

De informatiebeveiliging van uw organisatie is zo sterk als de zwakste schakel. U kunt alles nog zo goed op orde hebben, maar iedere zwakke plek kan de gehele betrouwbaarheid van informatiebeveiliging naar beneden halen. Bewustwording van informatiebeveiliging is daarom van belang. In de praktijk blijkt dat het menselijk handelen in de meeste situaties de zwakste schakel is.

Dit betekent dus dat het handelen van uw medewerkers het grootste risico vormt bij het beschermen en beveiligen van gevoelige informatie of persoonsgegevens. Daarom is het van essentieel belang om alle medewerkers in uw organisatie bewust te maken van de risico’s rondom informatiebeveiliging, onderling afspraken te maken over gewenst gedrag en geheimhouding - waar nodig - te respecteren.

 

Informatiebeveiligingsbeleid

Informatiebeveiligingsbeleid is echt geen overbodige luxe voor organisaties. De doelstellingen en maatregelen die u moet behalen voor uw informatiebeveiliging zijn opgenomen in dit artikel en zijn gebaseerd op de ISO 27001. Daarom zijn deze doelstellingen en maatregelen relevant voor iedere branche.

Wat is het informatiebeveiligingsbeleid?

De voornaamste reden om te beschikken over een informatiebeveiligingsbeleid is het risico op en de schade als gevolg van incidenten te minimaliseren en daarmee de continuïteit van uw bedrijf te waarborgen. Maar hoe stelt u een goed beleid voor informatiebeveiliging samen? Dit gebeurt het beste op basis van vier hoofdlijnen:

  1. Context bepalen;
  2. Belanghebbenden en hun belangen inventariseren;
  3. Doelstellingen bepalen;
  4. Rollen en verantwoordelijkheden bepalen.

Een goed informatiebeveiligingsbeleid hangt samen met de BIV informatieclassificatie.

Waar staat BIV voor binnen informatiebeveiliging?

Als het gaat om informatiebeveiliging wordt er gebruik gemaakt van de zogenaamde BIV classificatie. Hierbij staat BIV voor Beschikbaarheid, Integriteit en Vertrouwelijkheid.

Als er over informatieclassificatie wordt gesproken, betreft dit het duiden van het belang aan de gebruikers van de informatie op basis van de verschillende aspecten zoals beschikbaarheid, integriteit en vertrouwelijkheid (BIV). Ieder aspect van classificatie behoeft zijn eigen eisen en maatregelen als het gaat om het gebruik en/of bewaren (opslag) van de informatie.

Rollen en verantwoordelijkheden informatiebeveiliging

Van het beschermen van gevoelige gegevens tot het implementeren van robuuste beveiligingsmaatregelen; er rust een cruciale taak op de schouders van degenen die belast zijn met het waarborgen van de integriteit en vertrouwelijkheid van informatie.

Wie is er verantwoordelijk voor informatiebeveiliging?

Wanneer iedereen in een organisatie op de hoogte is van zijn of haar specifieke taken en verantwoordelijkheden met betrekking tot informatiebeveiliging, wordt de kans op misverstanden en nalatigheid aanzienlijk verminderd.

Een duidelijke belegging van verantwoordelijkheden creëert niet alleen transparantie binnen een organisatie, maar bevordert ook de betrokkenheid van het team bij het beschermen van gevoelige informatie.

 

Informatiebeveiligingsplan/operationele planning

Bij informatiebeveiliging gaat het om beschikbaarheid, integriteit en vertrouwelijkheid van (privacy)gevoelige informatie. Omdat het een omvangrijk proces is, kan het lastig zijn om te bepalen waar u moet beginnen met het opzetten of onderhouden van informatiebeveiliging. Een informatiebeveiligingsplan kan u daarbij helpen.

Vaak wordt er binnen organisaties wel iets aan informatiebeveiliging gedaan. Toch ontbreekt in de meeste gevallen een structurele aanpak. Bepaalde beveiligingsactiviteiten worden eenmalig uitgevoerd, maar zonder onderling verband en regelmatige opvolging. Ze komen niet structureel terug op de agenda en de activiteiten die worden opgepakt, worden nergens beschreven.

Een informatiebeveiligingsplan - of operationele planning - kan uw organisatie helpen om de doelstellingen met betrekking tot informatiebeveiliging in samenhang op te stellen en beveiligingsactiviteiten structureel uit te voeren.

 

Jaarlijkse activiteiten informatiebeveiliging

Informatiebeveiliging is een proces waar met regelmaat tijd en aandacht aan besteed moet worden. Zijn er nieuwe ontwikkelingen of risico’s waar u rekening mee moet houden? Zijn de getroffen maatregelen nog afdoende? Werken de maatregelen effectief en bent u nog ‘in control’? Dergelijke vragen vereisen dat er gekeken wordt hoe de zaken verlopen en wat er eventueel aangepast moet worden.

Dit brengt allerlei activiteiten met zich mee die met regelmaat uitgevoerd moeten worden. Wanneer u voor uw organisatie een dergelijke jaarplanning rondom informatiebeveiliging wilt creëren, is het van belang om dit op de juiste manier te doen. Zo dient ieder onderdeel voldoende aan bod te komen zodat risico’s beheersbaar blijven en de kans op incidenten wordt verkleind.

 

Norm voor informatiebeveiliging

Slechte informatiebeveiliging kan grote gevolgen hebben voor organisaties. Niet alleen op financieel gebied, maar ook als het gaat om klantgegevens, vertrouwen van klanten in de organisatie en soms kan een organisatie zelfs tijdelijk stilvallen. Doordat het besef van de mogelijke consequenties groter wordt, begint informatiebeveiliging een steeds belangrijkere rol te spelen binnen organisaties.

Om zeker te zijn van informatieveiligheid zijn er normen en certificeringen in het leven geroepen, bijvoorbeeld de ISO 27001 en NEN 7510.

 

Informatiebeveiliging en ISO 27001

Als organisatie zijn er diverse mogelijkheden om aan informatiebeveiliging te doen. Van sommige organisaties wordt verwacht dat zij aan een bepaalde norm voldoen. Hiervoor is de ISO 27001 beschikbaar. Deze norm geeft richtlijnen rondom informatiebeveiliging binnen de organisatie. Indien hieraan wordt voldaan, kan de organisatie een certificering ontvangen.

 

Informatiebeveiliging en NEN 7510

Voor organisaties binnen de zorg gelden specifieke regels. Deze organisaties zijn verplicht om strikte informatiebeveiliging te hanteren. Dit tonen zij aan met een NEN 7510 certificering.

 

Informatiebeveiliging advies

Goede informatiebeveiliging is van essentieel belang voor elke organisatie. Niet alleen verwachten uw klanten een goede informatiebeveiliging van de organisatie waar zij gevoelige gegevens mee deelt. Ook de overheid stelt hier steeds strengere eisen aan.

Invoering van beveiligingsnormen als ISO 27001, NEN 7510 of de AVG vereisen specialistische kennis op het gebied van IT, business en juridische zaken. Doordat deze beveiligingsnormen vrijwel alle aspecten van de bedrijfsvoering raken, is het lastig dit te organiseren en het overzicht te bewaren.

Goede ISMS software kan u hierbij helpen.

Om aantoonbaar aan de omvangrijke normenkaders te voldoen, is het daarnaast essentieel om een overzichtelijke structuur te hebben en zaken centraal te administreren. Denk bijvoorbeeld aan een autorisatiematrix. Een ISMS biedt op een overzichtelijke manier ondersteuning hiervoor.

Base27

Axxemble stelt zich als doel om organisaties in het midden- en kleinbedrijf op een slimme en praktische wijze te ondersteunen bij een adequate informatieveiligheid. Dat doen we door de eerder genoemde vragen centraal te stellen in onze oplossing, Base27.

Onze online software tooling biedt een raamwerk (ISMS) voor beleid en organisatie rondom informatiebeveiliging, risicobeheersing, beschrijving van processen en procedures en ondersteuning voor het voeren van de verschillende registraties.

Met behulp van Base27 bent u in staat om snel de informatiebeveiliging rondom de gewenste norm op te zetten, inclusief ondersteuning voor de nieuwe privacywetgeving.

Krijg volledige controle over je informatiebeveiliging

Vraag een demo aan