Informatiebeveiliging is hard nodig

ISO27001.jpg

Hackers vormen een grote bedreiging voor de Rotterdamse haven. Criminelen proberen in te breken in computersystemen om de goederenstroom in beheer te krijgen. Niet vanuit een professionele bijdrage, maar voor illegalen praktijken. Grappenmakers proberen op afstand bruggen te openen of te sluiten. Onbemande kranen op de Maasvlakte lijken ook een leuk aandachtsgebied om te kijken of je die kan hacken. Maar wat kunnen de bedrijven hieraan doen?

Het belang van informatiebeveiliging wordt steeds groter. Steeds vaker worden we met (ict-) dreigingen geconfronteerd. Kijk maar naar de overige berichtgeving int de media afgelopen periode; hackers die het rapport van de onderzoek raad MH17 probeerden te hacken of dat een kwart van de middelgrote bedrijven in Nederland regelmatig last heeft van cyberaanvallen en dat door een autorisatiefout een politiemedewerker toegang had tot geheime informatie.

Bedrijven moeten ervoor zorgen dat de bedrijfsgegevens goed en veilig beheerd worden. Informatiebeveiliging moet voorkomen dat onze economisch kritische bedrijfsinformatie in vreemde handen komt.  Bovendien moeten we garanties bieden over de betrouwbaarheid en de beschikbaarheid van onze bedrijfsinformatie. Bedrijven/overheden zouden zich dus moeten certificeren op ISO27001 informatiebeveiliging, in combinatie met een informatiebeveiligingsplan.

Wat is ISO27001?

ISO 27001 is een ISO standaard voor informatiebeveiliging. In 2013 is een nieuwe versie uitgekomen en tevens in het Nederlands vertaald. De structuur is volledig gewijzigd en komt nu overeen met de nieuw te verwachten ISO-9001, de ISO-14001 et cetera. Deze internationale norm is van toepassing op alle typen organisaties. De norm specificeert eisen voor het vaststellen, implementeren, uitvoeren, controleren, beoordelen, bijhouden en verbeteren van een gedocumenteerd Information Security Management System (ISMS) in het kader van de algemene bedrijfsrisico's voor de organisatie.

De norm specificeert eisen voor de implementatie van beveiligingsmaatregelen die zijn aangepast aan de behoeften van afzonderlijke organisaties of delen daarvan. Het ISMS is ontworpen om de keuze van adequate en proportionele beveiligingsmaatregelen die de informatie beschermen en vertrouwen bieden aan belanghebbenden te waarborgen.

De eisen in deze internationale norm zijn algemeen en bedoeld om van toepassing te zijn voor alle organisaties, ongeacht type, omvang of aard.

Risico inzicht in bedrijfsprocessen

Informatiebeveiliging, de veiligheid van (bedrijfs)informatie, is sterk afhankelijk van het inzicht dat we hebben in onze bedrijfsprocessen en de risico’s die er op hoog, midden en laag niveau worden geconstateerd.  Hiervoor dienen dus over de (kritische) bedrijfsprocessen een risico analyse te worden uitgevoerd.

Bij een risicoanalyse is het doel om met een gestructureerde methode het risiconiveau van proces en systeem te bepalen. De meetlat hierbij is ISO27001. Tijdens de risicoanalyse worden de drie pijlers  (beschikbaarheid, integriteit en vertrouwelijkheid) van het desbetreffende bedrijf onder de loep genomen door middel van twee sessies. Tijdens de eerste sessie wordt er gekeken vanuit de uitvoering en wordt er op deze onderdelen gedetailleerd gekeken naar specifieke risico’s als het proces en/of systeem niet doet wat er van verwacht wordt. De tweede sessie staat in het teken van de daadwerkelijke bedreigingen en kwetsbaarheden en de echte kans dat dit  kan gebeuren en wat de impact is als dit gebeurd. Als beide sessies zijn uitgevoerd rolt er een rapport uit met daarin het ingeschatte risico en de daarbij behorende te nemen maatregelen.  

Voorbeelden:

-       Beschikbaarheid: Stel het systeem valt uit en is X tijd niet benaderbaar. Wat zou hiervan de consequentie zijn voor het bedrijf zelf en stakeholder(s)? 

-       Vertrouwelijkheid: Stel dat een ongeautoriseerde medewerker met een uitgeleend/gestolen personeelspasje inzicht krijgt waar de container met drugs zich bevind of de ‘ pick-order’ kan wijzigen om de douane controle te ontlopen? Hoe erg is dat? 

-       Integriteit: Stel dat er een structurele fout in de database zit waardoor de informatie niet meer correct is. Wat zijn dan de gevolgen?

Inzicht in de risico’s

Als we zicht hebben van de risico’s kunnen we maatregelen nemen om de risico’s te beheersen. De maatregelen dienen dan getoetst te worden aan het informatiebeveiligingsbeleidsplan van de directie en de maatregelen volgend uit de ISO 27001 norm.

Deze standaard bepaalt dus welke risico's en welke maatregelen aanvaardbaar zijn en waar de organisatie naar toe moet werken om de kwaliteit van informatiebeveiliging van de organisatie te verbeteren. Het directieteam, verantwoordelijk voor informatiebeveiliging, zal managers moeten aansporen om invulling te geven aan de nodige maatregelen.

Plan, Do Check en Act

Na het nemen van de maatregelen dient de kwaliteit ervan periodiek gecontroleerd te worden en waar nodig aangepast. De inrichting van het kwaliteitssysteem, het zogenaamde Information Security Management System (ISMS), alle beschreven maatregelen, eisen en procedures worden opgeslagen in een speciaal hiervoor ontwikkelde systeem: het Information Security Management System (ISMS). Daarin staan ook alle documenten en bijbehorende rollen en verantwoordelijkheden van medewerkers.

Dit klinkt als een flinke klus. Dat is het ook. Je zal als directie een informatiebeveiligingsplan moeten maken en een project/programma hiervoor moeten opzetten. Het is ook een verandering van de organisatie in het nieuwe werken door de organisatie bewust te maken dat informatiebeveiliging bittere noodzaak is. Na het project van opzet, bestaan en implementatie zal de organisatie zich continue moeten verbeteren (Plan, Do, Check en Act) om het gewenste ISO27001 informatiebeveiligingniveau te kunnen handhaven. Constante aandacht in een veranderomgeving blijft dus nodig. Alhoewel het een flinke klus is levert het ook vele voordelen op (zie kader).

Wat is de winst van ISO27001?

Met de ISO-certificering kunnen organisatie aantonen dat: 

-       De procedures en processen rondom informatiebeveiliging in control zijn;  
-       Dat organisaties inzicht hebben in de risico’s over hun bedrijfsprocessen;
-       Dat organisaties de risico’s met maatregelen kunnen beheersen tot een aanvaardbaar risico;  
-       Dat de processen en werkwijzen gestandaardiseerd zijn;
-       Dat de bedrijfsproducten, activiteiten en diensten van hoge kwaliteit zijn;
-       Dat de organisatie zich continu verbeterd;
-       Dat zij een betrouwbare partij zijn voor klanten en stakeholders;

Bron: computable.nl

#A2Scommunity