Wat is informatiebeveiliging?

Informatiebeveiliging behoort momenteel tot de meest actuele thema’s binnen organisaties. Het is een proces waarbij vanuit het risico perspectief wordt vastgesteld welke maatregelen getroffen moeten worden om alle vormen van informatie binnen een organisatie te waarborgen. Dit heeft zeker niet alleen betrekking op de techniek. De organisatie en de mensen zijn hier eveneens van grote invloed op. Echter ontbreekt vaak het inzicht in de risico’s van de beschikbaarheid, integriteit en de vertrouwelijkheid van de informatie; en daarmee ook het inzicht in de noodzakelijk te treffen maatregelen.  

Waarom is informatieveiligheid belangrijk?

Zonder informatie komt uw organisatie tot stilstand. Als de informatie niet beschikbaar is, de betrouwbaarheid (integriteit) van de informatie te wensen overlaat of de vertrouwelijkheid niet gewaarborgd is, heeft dit grote gevolgen voor het voortbestaan. Het gebrek aan inzicht in de veiligheid van de waarde van de informatie maakt het realiseren van kansen en ontwikkelingen complexer. Dit kan de continuïteit van uw organisatie belemmeren.

Momenteel gaan de ontwikkelingen op het gebied van informatiebeveiliging razendsnel en zijn ze van invloed op uw dagelijkse bedrijfsvoering. Denk hierbij bijvoorbeeld aan het versturen en ontvangen van emails, geautomatiseerde opdrachten of het aansturen van mensen, systemen en middelen. Een te makkelijk wachtwoord, een phishing mail of het klikken op een geïnfecteerde link kan bijvoorbeeld al vergaande gevolgen hebben. Daarnaast is er nieuwe wet- en regelgeving in aantocht waar uw organisatie wellicht aan moet gaan voldoen, zoals de NIS2.

Als organisatie wilt u inspelen op de behoefte binnen de organisatie en snel kunnen anticiperen op deze (steeds veranderende) wetgeving, bedreigingen en kansen van buitenaf. Door het verzorgen van inzicht en het treffen van de juiste maatregelen, kunnen we uw informatieveiligheid organiseren en waarborgen. 

Hoe krijg ik mijn informatiebeveiliging op orde? 

Voor een optimaal draagvlak voor het organiseren van informatiebeveiliging, is het noodzakelijk dat alle activiteiten worden uitgevoerd onder verantwoordelijkheid van de directie. Informatiebeveiliging raakt immers de gehele organisatie, van strategie tot operatie, en heeft betrekking op alle vormen van informatie. Het commitment van de directie is hierbij essentieel voor het slagen van het organiseren van informatiebeveiliging in de praktijk. Daarnaast is het van groot belang om een informatiebeveiligingsbeleid op te stellen. Hierin staan de afspraken en richtlijnen voor het verwerken en beschermen van informatie binnen uw organisatie. Denk hierbij aan de richtlijnen voor privacybescherming (de bescherming van persoonsgegevens) en maatregelen om de veiligheid van informatie te garanderen. Ook biedt het duidelijke handvatten bij mogelijke beveiligingsincidenten zoals phishing, hacken of een cyberaanval. 

Om te komen tot een dergelijk informatiebeveiligingsbeleid worden alle activiteiten vastgelegd conform de ISO 27001 norm. Hierdoor wordt er een Information Security Management Systeem (ISMS) opgebouwd. Vanuit dit ISMS kan de verdere borging van informatiebeveiliging gemanaged worden op de gebieden: mens, organisatie (processen) en techniek. Daarnaast wordt binnen dit ISMS de opzet, bestaan en werking vastgelegd en kan richting de relevante stakeholders worden aangetoond dat de organisatie aantoonbaar ”in control” is op haar informatiebeveiliging. Indien gewenst kan worden overgegaan tot certificering. 

Informatiebeveiliging met Beschermheren  

Om de vraagstukken rondom informatieveiligheid goed te kunnen oplossen hebben we het Beschermheren Information Security Framework ontwikkeld. Dit is een gestructureerde en toegankelijke methode om samen met uw organisatie de situatie rondom informatieveiligheid in kaart te brengen, keuzes te maken over de aanpak en de maatregelen duurzaam te implementeren. Hiermee weten we de complexiteit van informatiebeveiliging te vereenvoudigen. 

Het Beschermheren Information Security Framework 

Binnen dit framework beginnen we met een 360 graden inventarisatie waarbij we een beeld krijgen van de wijze waarop de organisatie omgaat met informatie en de daaraan verbonden risico’s. Vervolgens wordt samen met de organisatie bepaald wat de kans en impact van de gevonden risico’s is. Wanneer de risico’s duidelijk zijn zal aan de risicobereidheid van het management worden vastgesteld of en welke maatregelen geïmplementeerd moeten worden. Daarnaast zal de maatregelentoetsing uitwijzen of reeds geïmplementeerde maatregelen aansluiten bij de gevonden risico’s en of deze het gewenste effect hebben. De uitkomsten hiervan worden vastgelegd in een rapport, wat als basis dient voor het Informatiebeveiliging & Privacy Plan. 

Het framework, dat gebaseerd is op het ISO normenkader, vormt de structuur en uitgangspunten voor de aanpak en implementatie van de maatregelen. Om het geheel toegankelijk, overzichtelijk en actueel te houden maken we gebruik van een speciaal daarvoor ontwikkelde oplossing ISO4U. Dit is een web-based ISMS tool waar deze informatie volgens een vaste structuur in staat opgeslagen.  

Aan de slag met informatiebeveiliging

Het duurzaam borgen van informatiebeveiliging is een proces en geen project op zich. Echter, om het proces te managen en te zorgen voor betrokkenheid binnen alle delen van de organisatie, maakt Beschermheren gebruik van de technieken en principes van een projectmatige aanpak.  

Voor het optimale resultaat wordt de governance van het proces (deelprojecten) vooraf goed ingeregeld. Afhankelijk van de grote van de organisatie wordt er een stuurgroep, een projectgroep en één of meerdere werkgroepen vastgesteld.

Met het goed inregelen van de projectorganisatie, en de daarbij horende overleggen en rapportages, is de voortgang van informatiebeveiliging geborgd en kan het resultaat binnen het proces en deelprojecten op een gecontroleerde wijze worden nagestreefd.

Beschermheren biedt verschillende scenario’s om met uw informatiebeveiliging aan de slag te gaan. Deze zijn gebaseerd op de mate van zelfwerkzaamheid (autonomie om zelfstandig e.e.a. te realiseren) en/of uw zelfredzaamheid (het vermogen zelfstandig e.e.a. te realiseren) en/of de gewenste inzet (ondersteuning) door Beschermheren. Een CISO as a service is ook onderdeel van onze dienstverlening.

Wilt u ook de uitdagingen rondom informatiebeveiliging aanpakken? Inzicht krijgen in de risico’s en met ons werken aan het organiseren van informatiebeveiliging dat perfect aansluit bij de wensen en behoeftes van de organisatie? Neem dan vandaag nog contact met ons op en zet de eerste stappen naar informatiebeveiliging als integraal onderdeel van de organisatie.