MBIS blog

MBIS blog

Informatiebeveiliging en de continuïteit van uw organisatie

Blogger: Ton Schilder op 9-jan-2018 10:00:42

Informatiebeveiliging en de continuïteit van uw organisatie

Vandaag mijn laatste blog over onderwerpen die de internationale norm voor informatiebeveiliging ISO 27002 behandelt. De norm begint met een hoofdstuk over beleid en eindigt met een hoofdstuk over naleving. Met daartussen een verzameling van maatregelen in de verschillende hoofdstukken. In dit laatste blog meer over de inhoud van het hoofdstuk over incidentbeheer, bedrijfscontinuïteit en naleving.

Beheer van informatiebeveiligingsincidenten

Beveiligingsincidenten waardoor de betrouwbaarheid van uw informatie in het geding komt, kunnen op verschillende gebieden voorkomen: van een webshop die uitvalt (beschikbaarheid) tot foutieve informatie in een Document Managementtool (integriteit) tot een datalek (vertrouwelijkheid). Bij het hoofdstuk over beheer van dit soort incidenten gaat het om 3 dingen:

  1. Worden incidenten herkend en tijdig bij de juiste persoon gemeld?
  2. Worden de incidenten die zich voordoen goed opgelost?
  3. Trekt u als organisatie leren uit dit soort incidenten?

Het doel van een goed proces incidentbeheer is de impact van een incident te verkleinen en in de toekomst te voorkomen. Niet alleen om aan de wet- en regelgeving te voldoen (daarover meer bij naleving), maar ook om de continuïteit van uw organisatie te garanderen.

 

Praktische tip voor incidentbeheer

In plaats van ad hoc op incidenten te reageren is het belangrijk dat u een laagdrempelige procedure inricht. Hiervoor is het ook nodig dat medewerkers zich bewust zijn van informatiebeveiliging. Ze moeten beveiligingsincidenten op de werkvloer kunnen herkennen om ze te kunnen melden. Ik raad mijn klanten meestal aan om duidelijk te maken wie het aanspreekpunt bij incidenten is. Zorg ervoor dat de wijze van melden duidelijk, eenvoudig en laagdrempelig is.


Bedrijfscontinuïteitsbeheer

Dit hoofdstuk zoomt in op de continuïteit van uw belangrijkste kritische systemen en processen. Bij de kritische systemen en processen is het belangrijk om een plan te maken hoe u de continuïteit ervan garandeert. Dat plan met bijbehorende maatregelen checken we in het hoofdstuk over bedrijfscontinuïteitsbeheer. Van tevoren maakt u een plan dat de continuïteit van uw organisatie garandeert bij een crisis of ramp. Hier ziet u ook de link met risicomanagement.

 

Naleving van wet- en regelgeving

Dit hoofdstuk benoemt dat u inzichtelijk moet hebben welke wet- en regelgeving voor uw business relevant is. Naast branchespecifieke wet- en regelgeving moet u, als uw organisatie persoonsgegevens verwerkt (en dat is al snel het geval), ook aan de Wet bescherming persoonsgegevens voldoen. Een wet die in mei 2018 opgevolgd wordt door de Algemene verordening gegevensbescherming (AVG). Deze wet schrijft voor dat u gepaste beveiliging moet toepassen voor persoonsgegevens. En dat doet u als u de norm implementeert in uw organisatie. Het hoofdstuk naleving heeft een directe link met incidentbeheer. Een incident rondom de vertrouwelijkheid van persoonsgegevens kan namelijk een datalek opleveren die in het kader van de Wet bescherming persoonsgegevens en de Meldplicht datalekken bij de Autoriteit Persoonsgegevens en/of de betrokkene moet worden gemeld.

Onafhankelijke beoordeling

Een belangrijke onderdeel in het hoofdstuk Naleving gaat over de onafhankelijke beoordeling van informatiebeveiliging. Dit betekent dat u na een nulmeting op de status van informatiebeveiliging (en het bijbehorende verbeterplan) structureel meetmomenten blijft uitvoeren. Specifieke aandacht is er voor technische naleving. Hiermee bedoelen we het regelmatig testen van informatiesystemen. Bijvoorbeeld door een penetratietest of web vulnerability scan uit te voeren op uw website (voor de definitieve uitrol) of na een grote wijziging in de infrastructuur. Security engineers in de rol van Ethical Hackers proberen dan uw systemen binnen te komen. Met de resultaten van zo’n test kunt u vervolgens aan de slag. Door dit regelmatig te doen werkt u continu aan verbetering van uw beveiliging.

 

Tot slot

Het doel van de norm is om continu bezig te blijven met informatiebeveiliging, om het hoofd te kunnen bieden aan de steeds veranderende situatie binnen en buiten uw organisatie. In de afgelopen 6 blogs heb ik u laten zien wat de onderdelen zijn van een nulmeting volgens de norm. Hopelijk heeft het u ook inzicht gegeven in de raakvlakken tussen de verschillende onderwerpen. In mijn volgende blogs laat ik u zien hoe we in de praktijk met de nulmeting omgaan. Hoe kunt u efficiënt met de informatie uit een nulmeting aan de slag? U leest het in mijn volgende blog over efficiënte implementatie.

Onderwerpen

Informatiebeveiliging