6 stappen informatiebeveiliging DNA

De toenemende digitalisering creëert op vele gebieden enorme mogelijkheden zoals snellere service, beter inzicht en efficiënter werken. De risico’s die digitalisering met zich meebrengen worden ook steeds meer onderkend en leiden tot een hogere toevoegde waarde van informatiebeveiliging. Hoe zorgt u ervoor dat informatiebeveiliging in het DNA van uw organisatie komt, en daarmee voor iedereen een vanzelfsprekendheid word? In dit blog schetsen we de stappen die u kunt zetten.

De rode draad door de 6 informatiebeveiligingsstappen

Om informatiebeveiliging daadwerkelijk in uw bedrijfs-DNA te krijgen kunt u onderstaande stappen doorlopen. Daarbij is het belangrijk om bij alle stappen een aantal centrale vragen steeds in het achterhoofd te houden:

  • Welke informatie wil ik beveiligen?
  • Waarom wil ik die informatie beveiligen?
  • Hoe ga ik de informatie beveiligen?
Het antwoord op deze 3 vragen geeft richting en prioriteit bij de invulling van uw informatiebeveiliging en zorgt ervoor dat u de juiste zaken op het juiste moment behandeld.

 

6 stappen om informatiebeveiliging in het DNA te krijgen: 

1. Creëer een overzicht van het informatielandschap in uw organisatie

Het lijkt eenvoudig, maar als u daadwerkelijk alle details boven water wilt krijgen zult u merken dat er behoorlijk wat komt kijken bij het in kaart brengen van uw informatielandschap. Dit is een overzicht van alle informatie die in uw organisatie aanwezig is, waar deze zich bevindt, wie er toegang toe heeft, via welke kanalen de informatie uitgewisseld wordt en hoe vaak dat gebeurt. Daarbij is informatie niet alleen data die in systemen of op (papieren) documenten staat, maar ook bijvoorbeeld kennis in de hoofden van uw medewerkers die van belang is voor het reilen en zeilen van uw organisatie. Dit wordt ook wel getypeerd als ‘informatie assets’. Daarnaast moet dus gekeken worden naar de informatiekanalen; hoe en met wordt informatie uitgewisseld. Als u het informatielandschap goed op het netvlies heeft staan, heeft u een goed uitgangspunt om de volgende stappen te zetten. 

Geef succesvol invulling aan ISO 27001 in uw organisatie - Download het  stappenplan


2. Bepaal de kroonjuwelen van uw organisatie

Nu u een totaaloverzicht van uw informatielandschap heeft, is het zaak om de kroonjuwelen te bepalen. Dit zijn de ‘grote brokken’ binnen uw informatielandschap, die een grote (strategische) waarde vertegenwoordigen. Hierbij kan gedacht worden aan informatie van uw organisatie zelf, zoals financiële info, persoonsgegevens of intellectueel eigendom, maar vergeet zeker ook niet de gegevens van derden (zoals gegevens van klanten of leveranciers) die u verwerkt. Deze laatste categorie wordt nog wel eens te kort door de bocht behandeld. Veel organisaties kijken naar hun eigen processen en applicaties en wat die zouden moeten doen. U moet zich de vraag stellen voor wie de informatie van belang of waarde kan zijn als diegene kwaad wil doen; Wat een constructietekening is voor de één, is een mogelijke handleiding voor sabotage voor de ander.

 

3. Voer een Business Impact Analyse uit

Informatiebeveiliging gaat over het beschermen van gegevens die waardevol zijn. Om deze gegevens te beveiligen en om ervoor te zorgen dat informatie beschermt blijft, is het verstandig om het een eigenaar te geven. Iemand die zorg draagt voor de veiligheid en eindverantwoordelijk is voor de bescherming. Wie zou deze rol kunnen vervullen?

Wanneer u mensen hiervoor verantwoordelijk stelt, is het belangrijk om mensen te selecteren die verstand hebben van de business. Kies daarom idealiter voor mensen uit de operationele organisatie, denk bijvoorbeeld aan de lijnverantwoordelijken.

Uiteindelijk is hiervan het doel dat iedereen een deel van de informatie beheert en beschermt. Op die manier wordt het automatisch een gedeelde verantwoordelijkheid en dit vergroot de kans op goede beveiliging waarmee u risico's sterk terugdringt. U zult uzelf hier dankbaar voor zijn tijdens de ISO 27001 audit.  

4. Bepaal de huidige beheersmaatregelen

Nu het informatielandschap en de kroonjuwelen in kaart zijn gebracht, is het zaak om beheersmaatregelen vast te stellen. Bedenk daarbij goed dat u waarschijnlijk (zonder dat u het doorheeft) al een aantal maatregelen heeft ingevoerd en toepast. U maakt bijvoorbeeld back-ups zodat informatie beschikbaar blijft, zorgt ervoor dat u toegangscontrole in uw pand heeft en heeft een virusscanner geïnstalleerd. Het overzicht van de reeds geïmplementeerde beheersmaatregelen geeft dus een goed beeld van de voorzorgsmaatregelen die  het risico nu al verminderen.

Geef succesvol invulling aan ISO 27001 in uw organisatie - Download het  stappenplan

5. Stel informatiebeveiliging acceptatiecriteria vast

U heeft een overzicht van uw informatielandschap, de kroonjuwelen en de huidige beheersmaatregelen. Daarmee kunt u vaststellen wat voor uw organisatie acceptabel is met betrekking tot de risico’s die u loopt. Als we het voorbeeld van klantinformatie uit punt 2 erbij halen, kun je daarvan zeggen in hoeverre niet toegankelijk zijn van deze informatie wel/niet acceptabel is. Bijvoorbeeld 10 minuten is acceptabel, maar meer dan een dag niet. Zo stelt u acceptatiecriteria voor al uw kroonjuwelen op. Vergelijk deze acceptatiecriteria vervolgens met de beheersmaatregelen uit punt 4, en u heeft een GAP analyse waarmee u eventuele additionele beheersmaatregelen kunt gaan implementeren.

6. Maak een (realistisch) dreigingsoverzicht

De additionele beheersmaatregelen die u kunt gaan nemen hebben ook te maken met de dreiging waar uw organisatie voor staat en hoe realistisch die is. U kunt zich bijvoorbeeld voorbereiden op een zeer specifieke terroristische aanval op uw organisatie, maar hoe reëel is die dreiging? Wellicht is de dreiging van phishing e-mails veel waarschijnlijker en loont het de moeite om medewerkers te instrueren hoe om te gaan bij dubieuze e-mails? Kijk hierbij niet alleen naar theoretische dreiging, maar ook naar de alledaagse praktijk. Maakt u bijvoorbeeld gebruik van toegangscontrole, is het dan mogelijk om met z’n tweeën tegelijk door de sluis heen te gaan. Of als u uw informatie op externe servers in een datacentrum heeft staan, wie kan er dan daadwerkelijk bij de servers en informatie komen? Het is goed om alle scenario’s goed door te nemen, en op basis daarvan een realistisch dreigingsbeeld te vormen zodat u de juiste beheersmaatregelen neemt.

Organiseer uw informatiebeveiliging effectief, download het ISO 27001 stappenplan

Bent u verantwoordelijk voor een optimale informatiebeveiliging, maar vind u het lastig om te bepalen wat u moet doen en in welke volgorde? En zoekt u naar de juiste balans tussen technische kennis, zorgen voor acceptatie en adoptie bij medewerkers en ook een managementsysteem op te zetten? Onze experts ontwikkelden een praktisch ISO 27001 stappenplan om uw stap voor stap te helpen uw doel te bereiken.

Download hier het ISO 27001 stappenplan. 

New Call-to-action

Onderwerpen:

Alle onderwerpen ISO 27001 informatiebeveiliging

mail icons 2

Stel uw vraag over

Certificering van managementsystemen, keurmerken en andere schema's

Planning en service voor certificering

Customer Service Center Certificatie

TÜV Nederland