Informatiebeveiliging en ISMS – wat, waarom en hoe
De afgelopen decennia hebben veel bedrijven een digitale transitie doorgemaakt. Deze ontwikkeling is tijdens de (intelligente) lock-down vanwege de wereldwijde uitbraak van COVID-19 onder hoge druk versneld. Nieuwe communicatietools zijn volop in gebruik genomen met toegang tot bedrijfsnetwerken vanuit huis. De inrichting is zo opgezet dat collega’s met elkaar kunnen chatten, (video) bellen en samenwerken op afstand. Veel organisaties hadden al ervaring in het thuiswerken maar in de huidige 1,5 meter samenleving, waar thuiswerken de absolute voorkeur heeft, treden steeds meer debutanten toe. Ondanks de vele voordelen van deze manier van werken, moeten we de ogen niet sluiten voor de genomen en nog te nemen risico’s op het gebied van cybersecurity, informatieveiligheid en privacy. Is het werken vanaf huis wel volledig veilig? Communiceren we wel met degene die we denken dat we communiceren? Wie kijken er mee tijdens een videomeeting en naar wie worden de opgenomen meetings verstuurd?
Middels informatiebeveiliging naar informatieveiligheid
Informatie is interpreteerbare data die kan leiden tot kennis. Kennis helpt organisaties beter te presteren dan de concurrentie. Kennis brengt organisaties onder andere in staat om sneller, efficiënter of met betere kwaliteit klanten te voorzien in hun behoefte. Logisch gevolg hiervan is dat informatieveiligheid voor veel organisaties hoog op de agenda staat. Informatieveiligheid realiseer je door informatie te beveiligen – informatiebeveiliging. Er zijn verschillende beschrijvingen van informatiebeveiliging. Mij spreekt de volgende beschrijving het meeste aan: het beveiligen van informatie tegen bedreigingen. Deze beknopte omschrijving maakt het eenvoudig om bij de kern te blijven: informatie, beveiligen en bedreigingen. Informatie is overal in organisaties aanwezig. Zowel fysiek, op bijvoorbeeld papier, maar vooral digitaal in bijvoorbeeld databases en applicaties. Deze assets (databases, applicaties, etcetera) hebben vaak complexe N:N (veel-op-veel) relaties met andere assets, processen en afdelingen. Deze complexe relaties en afhankelijkheden tussen de verschillende entiteiten maakt het uitdagend om informatiebeveiliging efficiënt te organiseren.
Methodiek van beveiligen
Het doel van het beveiligen van informatie is om zorg te dragen dat de veiligheid op orde is. Veiligheid is een breed begrip en wordt in de praktijk vaak uitgelegd als: informatie dient beschikbaar, integer en vertrouwelijk te zijn. Organisaties kiezen er vaak voor om assets en/of processen te scoren op deze onderdelen om zodoende te bepalen welke assets en/of processen als kritiek voor de organisatie worden gezien. De mate waarin informatie beschikbaar, integer en vertrouwelijk dient te zijn bepaalt mede de diepgang en complexiteit van het beveiligen.
Het beveiligen van informatie doet men middels (beheers)maatregelen. Maatregelen kunnen preventief, detectief, repressief of correctief van aard zijn. Daarmee zorgen maatregelen ervoor dat de kans en/of impact van de risico’s afneemt waarmee getracht wordt om de restrisico’s op een aanvaardbaar niveau te krijgen. Een van de grootste uitdagingen is om maatregelen proportioneel en binnen de juiste context te toetsen. Het is daarbij key om goed in beeld te hebben welke risico’s u loopt, waar deze zich voordoen en hoe groot (kans x impact) deze risico’s zijn om zodoende de juiste maatregelen toe te wijzen. Veel gehanteerde maatregelen voor informatiebeveiliging komen voort uit standaard normenkaders, zoals beschreven in bijvoorbeeld de BIO, ISO 27001/2 en NEN7510. Ervaring leert dat steeds meer organisaties de standaarden vanuit deze frameworks enkel zien als startpunt. Het is een stukje gereedschap om de organisatie verder te brengen en gestructureerd na te denken over best-practice risico’s en maatregelen. Uiteindelijk gaat het “toetsen” van maatregelen niet alleen om het aantoonbaar voldoen aan normen uit kaders opgelegd vanuit toezichthouders of benodigd voor een certificaat. Het is in de basis voor het beveiligen van uw informatie en het verbeteren van de kwaliteit van uw dienstverlening.
Information Security Management System (ISMS)
Men denkt bij informatiebeveiliging al snel aan een zogenoemd Information Security Management System (ISMS). Een ISMS is een systeem van processen, documenten, mensen en technologie die organisaties in staat stelt om informatiebeveiliging te plannen, uit te voeren, controleren en verbeteren (Plan-Do-Check-Act). Binnen een moderne organisatie waar informatiebeveiliging serieus wordt genomen is een ISMS simpelweg niet meer weg te denken. Bij het implementeren van een ISMS moet er kritisch gekeken worden naar de integraliteit. Informatiebeveiliging raakt immers veel aspecten binnen uw organisatie. Door koppelingen te leggen tussen standaard normenkaders, assets, afdelingen, processen, risico’s en beheersmaatregelen in het ISMS creëert u de basis voor meer standaardisatie en minimale belasting op de organisatie voor o.a. het ophalen van bewijslast. “Map once comply to many”, bijvoorbeeld een geüpdatete autorisatiematrix als bewijslast gebruiken om normen uit verschillende normenkaders te toetsen. Daarnaast zorgt een integrale koppeling voor meer inzicht en mogelijkheden tot het creëren van diverse dwarsdoorsneden. Zoals, welke applicaties voldoen er wel of niet aan een bepaalde norm, welke normen zijn nog niet getoetst door de verantwoordelijke. Door decentraal eigenaarschap te beleggen middels overzichtelijke governance structuren kan er op centraal niveau maximaal inzicht opgehaald worden om zodoende zo efficiënt mogelijk te monitoren en te sturen.
Meer informatie?
De Key Control Dashboard ISMS software is de oplossing waarmee organisaties aantoonbaar In-Control zijn en compliant blijven op wetgeving, procedures en richtlijnen waaronder: ISO 27001/2, Baseline Informatiebeveiliging Overheid BIO (voorheen BIR, BIG), de AVG (GDPR), NEN 7510 en andere normenkaders. Lees meer over onze ISMS oplossingen of vraag een gratis demo aan.
Auteur: Stef de Graaf werkt als Managing Consultant bij het Key Control Dashboard. Hij is o.a. als Project Manager verantwoordelijk voor de implementatie van het ISMS, IRM en GRC software platform Key Control Dashboard bij diverse Ministeries, ZBO’s, financiële instellingen, zorgorganisaties en gemeenten.