Basiskennis informatiebeveiliging - Wat moet u weten?

Informatiebeveiliging is een breed begrip. Veel zaken binnen uw organisatie vallen hieronder. Als u wilt beginnen met informatiebeveiliging, kan de omvang u afschrikken. Om u de benodigde handvatten te bieden, staan wij in dit blog stil bij de basiskennis informatiebeveiliging.

Om te beginnen bij de basis van informatiebescherming, gaan wij dieper in op het kernproces. Te vaak wordt gedacht dat informatiebeveiliging een eenmalige taak is. Dit is echter niet het geval. Onderstaand kernproces dient herhaald doorlopen te worden en bestaat uit de volgende stappen:

• Inventariseren van informatie
• Analyseren van risico’s
• Implementeren van maatregelen
• Controleren van effectiviteit

Wilt u weten hoe het staat met de informatiebeveiliging binnen uw organisatie? 

Lees verder onder de afbeelding.

Inventariseren van informatie

De allereerste stap in het informatiebeveiligingsproces is het inventariseren van informatie. Hierbij wordt uitgegaan van de vraag: ‘Welke informatie wordt beheerd en verwerkt binnen de organisatie?’ Deze vraag heeft niet alleen betrekking op de eigen organisatie en de eigen processen, maar zeker ook op de diensten en producten die worden geleverd aan klanten.

Zodra duidelijk is welke informatie er binnen de organisatie wordt beheerd en verwerkt, kan de vervolgvraag worden gesteld: ‘Wat is de ‘waarde’ van de informatie voor alle betrokkenen en belanghebbenden?’ Dit heeft alles te maken met informatieclassificatie.

Om antwoord te kunnen geven op deze vraag, dient duidelijk te zijn wie nu de betrokkenen exact zijn. Dit zijn bijvoorbeeld:

• Klanten/afnemers of gebruikers;
• Directie en/of management;
• Eigen medewerkers;
• Overheidsinstanties;
• Aandeelhouders;
• Leveranciers, partners.

Analyseren van risico’s

Wanneer u inzicht heeft welke informatie er binnen uw organisatie verwerkt en opgeslagen wordt, kunt u door naar de volgende stap van het kernproces. Dat betekent dat u kunt gaan analyseren welke risico’s er zijn ten aanzien van deze informatie.

U hebt de informatie al een waarde toegekend in de vorige stap. Aan de hand van deze waarde kunt u de impact van specifieke dreigingen voor belanghebbenden bepalen. Wanneer u dit op een structurele manier analyseert, kunt u inzicht krijgen in de relevante risico’s voor uw organisatie.

Hierbij kunt u gebruik maken van speciale dreiging modellen, zoals RAVIB of MAPGOOD. Deze modellen helpen u om een volledige analyse uit te voeren. Onze software Base27 kan u helpen bij het analyseren van de risico’s binnen uw organisatie en maakt de uitvoering en opvolging van een risicoanalyse gemakkelijker.

Ontdek de tien meest voorkomende dreigingen rondom risicomanagement in ons blog.

Implementeren van maatregelen

Als bekend is welke risico’s er zijn, ligt het voor de hand om de juiste maatregelen te treffen zodat het risico beheersbaar/acceptabel is. Deze maatregelen kunnen gebaseerd worden op raamwerken of normenkaders zoals de ISO 27001, NEN 7510, COBIT 2019 et cetera. De te nemen maatregelen kunnen zowel technisch als organisatorisch van aard zijn.

De bescherming van informatie gebeurd veelal met behulp van IT apparatuur en software. Toch komt er ook veel mensenwerk bij kijken. Een ongeluk zit in een klein hoekje. Daarom is het van belang dat uw werknemers bewust zijn van de risico’s van bijvoorbeeld een datalek, ontstaan door een beveiligingsincident.

Controleren van effectiviteit

Zodra u de benodigde maatregelen heeft genomen, wilt u uiteraard ook graag weten of deze effect hebben. Het beste en duurste slot is immers waardeloos als u er geen of onvoldoende gebruik van maakt. Dat betekent dat u toepassing van deze maatregelen regelmatig dient te controleren.

Uw informatiebeveiliging op orde

Zoals eerder aangegeven is dit beschreven kernproces geen taak maar een doorlopende cyclus van taken. Om dit geheel goed te kunnen sturen, is het van belang dat er beleid is rondom informatiebeveiliging binnen uw organisatie. Ook doelstellingen, rollen en verantwoordelijkheden dienen afgestemd te worden om goede informatiebeveiliging te kunnen voeren.

Wilt u meer informatie of wilt u weten hoe u uw informatiebeveiliging aan kunt pakken of verbeteren? Wij helpen u graag. Neem vrijblijvend contact met ons op, wij staan graag voor u klaar.