Management

Dit is een bijdrage van EDM
Privacy
Esther Dirkse EDM

Vijf stappen voor informatiebeveiliging

Nederland loopt internationaal voorop als het gaat om digitalisering. Maar is dat ook zo op het gebied van beveiliging? Volgens de Cyber Security Raad (CSR), een adviesorgaan met leden uit het bedrijfsleven, niet.

11 juli 2017
Door: EDM, partner

Nederland loopt internationaal voorop als het gaat om digitalisering. Maar is dat ook zo op het gebied van beveiliging? Volgens de Cyber Security Raad (CSR), een adviesorgaan met leden uit het bedrijfsleven, niet.

Door: Esther Dirkse, Senior Consultant EDM

In een advies aan het Kabinet roept zij bedrijven en de overheid op meer inzicht te krijgen in hun zorgplichten op het bieden van dataveiligheid en hier meer in te investeren. Uiteraard hebben wij als dataspecialist ook een grote verantwoordelijkheid in dit verhaal. Met een breed portfolio van verschillende nationale en internationale klanten, gaan er dagelijks grote hoeveelheden data door onze handen die wij bewerken, verrijken en valideren. Vanzelfsprekend kennen wij onze eigen veiligheidsrichtlijnen, maar nu de nadruk steeds meer op veiligheid komt te liggen, werd het tijd om ons beleid bij een extern expert te laten toetsen.

Daarom zijn wij onlangs in het traject van de ISO 27001-certificering gestapt. Dit is dé standaard voor informatiebeveiliging en is van toepassing op alle type bedrijven. Hierin staat beschreven hoe informatiebeveiliging procesmatig ingericht moet worden. Het stelt eisen aan hoe bedrijven een gedocumenteerd Information Security Management System (ISMS) vaststellen, implementeren, uitvoeren, controleren, beoordelen, bijhouden en verbeteren. Niet ieder bedrijf dat zich bezighoudt met data is verplicht om deze certificering te halen. Echter krijgen al deze bedrijven in mei 2018 wel te maken met de nieuwe regelgeving omtrent databeveiliging; de General Data Protection Regulation. Deze wet heeft als gevolg dat bedrijven moeten kunnen aantonen dat de data die zij opslaan in datacenters of een cloud, voldoet aan de eisen van de nieuwe wetgeving. Wie niet voldoet aan deze wetgeving, riskeert forse boetes. Nog niet in ISO 27001 verdiept, maar al wel aan de slag met informatiebeveiliging? Wij hebben de eerste vijf stappen op een rij gezet.

Stap 1: breng alle stakeholders in kaart
Maak een volledig overzicht van alle stakeholders die betrokken zijn bij informatiebeveiliging. Dit geldt zowel voor stakeholders binnen, als buiten de organisatie. Bedenk je hierbij dat ISO 27001 de drie pijlers van mensen, gebouwen en systemen omvat. Hiermee maak je overzichtelijk wie zich bezighoudt met welke data en waar eventueel knelpunten of risico’s liggen.

Stap 2: houd je organisatie tegen het licht
Zoals gezegd omvat de scope van ISO 27001 drie pijlers, namelijk gebouwen, systemen en personeel. Kijk kritisch naar deze afzonderlijke elementen, waar ze je stakeholders ‘raken’ en bepaal of ze allemaal voldoen aan de beveiligingsnormen. Is het beveiligingssysteem van het gebouw bijvoorbeeld wel up to date? Beschikken informatiesystemen over de laatste beveiligingssoftware? En is je personeel op de hoogte van de laatste dreigingen en risico’s?

Stap 3: bepaal de scope van je ISMS
Bepaal de elementen binnen je organisatie waar informatiebeveiliging (en dus ISO 27001) betrekking op heeft. Niet alle informatie hoeft aan dezelfde veiligheidseisen te voldoen. Breng hier een classificatie in aan en bepaal dan je beleid en procedures. Zorg er hierbij voor dat je van alle informatie weet in welke bedrijfsprocessen deze voorkomen, zodat je de procedures hierop afgestemd kunt inrichten

Stap 4: besteed voldoende aandacht aan de bewustwording bij je stakeholders
Mensen blijken vaak de zwakste schakel als het aankomt op datasecurity. Het (on)bewust openen van een geïnfecteerde mail of foute website is zo gebeurd. Maak al je stakeholders dus bewust van de risico’s en leer ze hoe ze eventueel een phishing mail of website kunnen herkennen. Ervaring leert dat nog niet iedere klant zich bewust is van het belang van een veilige omgang met data. Vergeet hen daarom ook niet te informeren.

Stap 5: zorg voor goede monitoring op je beleid en afgesproken procedures
Allereerst is het belangrijk om alle processen en stakeholders in kaart te brengen, stakeholders te informeren en afspraken te maken. Vervolgens is het zaak om te zorgen dat je je beleid en procedures blijft monitoren. Komt iedereen zijn of haar afspraken na en gaat alles volgens de juiste procedures? Hierdoor kun je vroegtijdig fouten of misstappen signaleren en mogelijke datalekken voorkomen.

Tot slot: het ‘gouden regels document’
Het heeft ons geholpen om de belangrijkste regels en procedures samen te vatten in een ‘gouden regels document.’ Iedereen moet de regels op het gebied van informatiebeveiliging die in dit document staan opvolgen. Zorg er dan ook voor dat dit document voor iedereen inzichtelijk en toegankelijk is.

In drie blogs delen we onze learnings van het certificeringstraject, zodat jij als professional aan de gang kan met de kennis die we hebben opgedaan. In dit eerste blog geven we vijf tips om veilig om te gaan met data, het volgende blog behelst een stappenplan naar datasecurity volgens de ISO-normen en in het laatste blog leggen we uit hoe je databeveiliging continu verbetert.

 

Reactie toevoegen