Het belang van adequate informatiebeveiliging
Anno nu zijn bijna alle organisaties verbonden met internet en wordt er een enorme hoeveelheid informatie digitaal opgeslagen en uitgewisseld. Om ervoor te zorgen dat dit nu en in de toekomst veilig gebeurt, is adequate informatiebeveiliging essentieel.
Informatiebeveiliging omvat het geheel aan maatregelen die organisaties inzetten om hun informatie te beveiligen tegen verkeerd of crimineel gebruik. Organisaties hebben niet alleen informatie nodig voor het uitvoeren van hun bedrijfsprocessen, maar ook om de interne bedrijfsvoering bij te sturen en voor het nemen van strategische beslissingen. Het gaat daarbij om alle informatie die de organisatie (digitaal) verwerkt, zoals bijvoorbeeld persoonsgegevens uit het klantenbestand of de personeelsadministratie.
Om het beoogde niveau van beveiliging vast te kunnen stellen, moet worden geïdentificeerd aan welke betrouwbaarheidseisen moet worden voldaan. Doorgaans geschiedt deze classificatie volgens de BIV-indeling, waarbij wordt gekeken naar de volgende drie aspecten:
1 Beschikbaarheid: Beschikbaarheid waarborgt de mogelijkheid dat geautoriseerde gebruikers op de juiste momenten toegang hebben tot informatie en/of informatiesystemen.
2 Integriteit: Integriteit waarborgt de juistheid, tijdigheid (actualiteit) en volledigheid van informatie en de verwerking ervan.
3 Vertrouwelijkheid: Vertrouwelijkheid waarborgt dat informatie alleen toegankelijk is voor degenen die hiertoe zijn geautoriseerd.
Helaas broodnodig
Informatiebeveiliging is in de ogen van velen geen leuk onderwerp. Vaak komt dit voort uit het gevoel van mensen beperkt te worden in de flexibiliteit waarmee zij hun werkzaamheden kunnen uitvoeren. Doordat we daarnaast bijna dagelijks in de media overladen worden met adviezen en waarschuwingen rondom het thema, ontstaat er binnen organisaties soms zelfs een aversie tegen dit onderwerp.
De cijfers liegen er helaas echter niet om: Ruim vier op de tien ondernemingen heeft de afgelopen twee jaar één of meerdere malen te maken gehad met cybercrime. Het werkelijke aantal getroffen organisaties ligt naar alle waarschijnlijkheid zelfs nog hoger, omdat bijna tien procent van de organisaties geen idee heeft of er zich in de laatste twee jaar überhaupt een datalek binnen hun organisatie heeft voorgedaan.
Mogelijke consequenties
Slechte informatiebeveiliging kan voor organisaties verstrekkende gevolgen hebben. Naast financiële consequenties kunnen bedrijven door cybercrime ook te maken krijgen met het verlies van klantgegevens, het dalend vertrouwen van klanten en soms zelfs het tijdelijk stilvallen van de organisatie. Om die reden – in combinatie met de in 2018 ingevoerde AVG – dringt het besef steeds meer door dat informatiebeveiliging een essentieel onderdeel van het beleid en cultuur van organisaties moet zijn.
Beleid en cultuur
Informatiebeveiliging moet onderdeel worden van de cultuur van een organisatie. Een mindset die diepgeworteld zit in de basisprincipes van de organisatie. Het creëren van een dergelijke cultuur begint bij het ontwikkelen van een beleid. Als organisaties hun beleid voor informatiebeveiliging helder hebben, kunnen ICT-bedrijven vervolgens – op basis van de in kaart gebrachte risico’s – de benodigde technische maatregelen in stelling brengen om deze risico’s te minimaliseren.
ISO– en NEN-certificeringen
Om als ICT-bedrijf te kunnen aantonen dat je je zaken omtrent informatiebeveiliging goed voor elkaar hebt, zijn ISO 27001 en NEN 7510 certificeringen een absolute noodzaak. Het bijkomstige voordeel voor klanten is dat deze certificeringen ICT-bedrijven alert houden; naast het voldoen aan alle eisen, dienen de certificeringen ook als houvast om alle mogelijke risico’s omtrent informatiebeveiliging een stap voor te blijven. Het wordt een niet meer weg te denken onderdeel van de bedrijfscultuur die de ICT-specialist in staat stelt de klant iedere dag zo goed mogelijk van dienst te zijn, ook op het gebied van informatiebeveiliging.
Bron: daltacom.nl
#communityAim2Secure
#Aim2Awareness
#Aim2Incidents