Grip op de veiligheid van je informatie

Ontwikkelingen rondom informatieveiligheid gaan snel. Razendsnel! Nieuwe cloudoplossingen, werken op verschillende devices, cybercrime maar ook blockchain. Dit vraagt een andere aanpak als het gaat om informatieveiligheid want de klassieke ideeën en middelen werken niet meer of zijn ontoereikend.

Kortom, het gebied is groter en complexer geworden. Heeft u daar nog voldoende zicht op? We besteden aandacht aan verschillende ontwikkelingen die we in onze dagelijkse praktijk tegenkomen.

Uitbesteding

De klassieke benadering van alles zelf doen is achterhaald. Uitbesteding van processen die geen kernactiviteit zijn is dagelijkse kost. Waarbij IT een van de voorlopers is. Met voorbeelden als Software as a Service (SaaS) en Cloud computing. Uitbesteding heeft veel voordelen. Diensten zijn schaalbaar, het implementatietraject is vaak korter en er is geen uitgebreide IT-afdeling meer nodig. Uitbesteding vereist echter wél een andere manier van denken en vraagt een andere vorm van beveiliging. Essentieel is de vraag of u nog “in control” bent, want je kan alles uitbesteden behalve de verantwoordelijkheid! In hoeverre is dit geregeld?

IT niet langer in de lead

Informatiebeveiliging wordt meer en meer de verantwoordelijkheid van de Business (en betreft ook een Business proces). IT is daarin op een andere manier betrokken en trekt samen met de business op. Samen zorgen zij voor de veiligheid van de informatie. IT is daarbij dienstverlener en bepaalt niet zelf de regels meer. Deze verschuiving heeft invloed op de controle van uw beveiliging en de problematiek die daarbij komt kijken. Zijn de juiste stakeholders betrokken en is de verantwoordelijkheid voor uw Informatiebeveiliging bij de juiste personen neergelegd. En niet in de laatste plaats: zijn zij zich daarvan bewust?

Werken op eigen devices

Het digitale tijdperk heeft de manier hoe wij werken veranderd. Eigen laptops of smartphones (BYOD) en het gebruik van apps zijn niet meer weg te denken uit een zakelijke werkomgeving. De vaak (matig beveiligde) privéomgeving en werkomgeving zijn daarmee met elkaar verbonden. Foto’s van een bedrijfspresentatie belanden gemakkelijk in de privé Icloud en een mail voor een collega kan makkelijk terecht komen bij een vriend of vriendin. De klassieke manier van informatiebeveiliging met alles achter slot en grendel is achterhaald. Maar hoe moet het dan wel? Waar moet u nu de aandacht aan besteden?

The internet of things

Alles is tegenwoordig ‘connected’. Dat levert veel voordelen en gemak. Self learning machines die omgevingen in zich opnemen en aan de hand van analyses informatie produceren waarop keuzes worden gebaseerd. Ook Smart city’s of domotica in de zorg zijn voorbeelden. Maar stel dat de technologie een verkeerd signaal afgeeft. Dat kan verstrekkende gevolgen hebben voor het individu of de omgeving. Of een verkeerde analyse van informatie met verkeerde besluitvorming tot gevolg. Heeft u vanuit uw business te maken met IOT en gebruikt u die informatie voor het nemen van belangrijke beslissingen?

Data is king

Data is de zuurstof voor een organisatie. In de dagelijkse (klant)operatie maar ook voor verbetering en ontwikkeling. De term beschikbaarheid, integriteit en vertrouwelijkheid zijn bekende begrippen in deze wereld. Maar hoe organiseer je dat, gelet op de ontwikkelingen én risico’s? En heb je in je eigen organisatie wel eens de vraag gesteld hoeveel dagen je zonder die informatie kan?

Volg de komende tijd onze LinkedIn-pagina en/of website. We gaan in verschillende blogs aandacht besteden aan de genoemde ontwikkelingen en de manier waarop u die zo slim mogelijk kan toepassen.

Waar kunt u starten?

Waar en hoe vindt u het antwoord op de bovenstaande vragen?

Alle uitdagingen zijn belangrijk om mee te nemen in uw aanpak voor informatiebeveiliging. Informatieveiligheid is een onderwerp dat essentieel is voor uw bedrijfsvoering en continuïteit. Maar vaak is het er geen direct onderdeel van. Waar begint u en hoe pakt u het aan?

Effectief (Information) Risk Management

Het vertrekpunt vanuit deze invalshoek is het vaststellen of uw organisatie risico loopt en hoe uw organisatie de risico’s beheerst. Voor veel organisaties is dit geen dagelijkse bezigheid.

Bij Effectief Risk Management wordt gemeten op de karakteristieken beschikbaarheid, integriteit en vertrouwelijkheid van informatie in een 360° benadering. Hierbij komen niet alleen programmatuur, apparatuur en data aan de orde, maar ook de organisatie, de mensen, de dienstverlening en de omgeving. Gelukkig zijn er voldoende methoden en tools om dat gestructureerd en grondig te doen. Een daarvan is de MAPGOOD-methode.

Voor het vaststellen van de risicowaarden, wordt de gewogen impact vermenigvuldigd met de gewogen waarschijnlijkheid dat een risico/incident op kan treden. Dat wordt vervolgens uiteengezet in een tabel. De door uw organisatie gekozen risicowaarden geven nu een helder beeld van wat er wel en niet dient te gebeuren om risico’s te accepteren, te verminderen, te verhelpen óf te verzekeren. Hierbij spelen de financiële consequenties van de maatregelen een belangrijke rol.

Voordenken

Gesteld kan worden dat ‘het niet de vraag is óf het een keer misgaat maar wanneer’. Niet bemoedigend maar wel eerlijk. De term ‘voordenken’ is hier toepasselijk. Want als je “nadenkt” ben je vaak te laat. Door vooraf beter na te denken over de risico’s en te nemen maatregelen kan schade worden voorkomen of beperkt.

Denk bijvoorbeeld aan off-line back-ups voor het geval je ten prooi valt aan Ransomware. Maar ook aan Business Contiuity management. Wat heb ik minimaal nodig om de voortgang van zijn business veilig te waarborgen conform wet en regelgeving (Business Compliancy).

Kansen genoeg om met elkaar aan te pakken

Uiteindelijk zijn alle ontwikkelingen kansen voor de organisatie. Het leidt tot mogelijkheden om te innoveren, sneller te werken of om kosten te besparen. De sleutel om dat veilig en goed te doen is door samen te werken binnen de organisatie. De risico’s die bij de nieuwe ontwikkelingen komen kijken houden u scherp. Maak daar gebruik van.

Tegelijkertijd bepaalt u met elkaar waar in de driehoek ‘Techniek, Organisatie en Mensen’ aandacht en maatregelen nodig zijn die genoeg zijn om de veiligheid te borgen en onnodige investeringen te voorkomen. Een ‘Security information and event management’ (SIEM) of een ‘security operations center’ (SOC) is nuttig maar niet voor iedere organisatie nodig.

De ontwikkelingen bieden mooie kansen. Zorg dat ze goed zijn georganiseerd zijn en heb aandacht voor de risico’s.

Over de auteur

Maarten Kokkes is consultant bij Beschermheren en helpt organisaties met vraagstukken over Informatieveiligheid en privacy.