MBIS blog

MBIS blog

Informatiebeveiliging: hoe beveiligt u uw hoog vertrouwelijke informatie buiten uw organisatie?

Blogger: Ton Schilder op 14-nov-2017 9:33:56

pexels-photo-229543.jpeg

In mijn vorige blog had ik het onder andere over de classificatie van gegevens. Zijn gegevens hoog vertrouwelijk? Dan neemt u daarbij een aantal maatregelen. Cryptografie kan een logische maatregel zijn. Ook communicatiebeveiliging en leveranciersrelaties hebben hiermee te maken. Ik beschrijf deze 3 onderwerpen uit een nulmeting kort voor u in dit blog.

Cryptografie

Als er binnen uw organisatie sprake is van hoge vertrouwelijkheid, dan kunt u bij die informatie kiezen voor een vorm van cryptografie. Cryptografie kunt u toepassen op de verbinding, maar ook op de opslag van gegevens. Een voorbeeld van gebruik van cryptografie is het thuiswerken. Gebruik van mobiele apparatuur brengt namelijk risico’s met zich mee. Die kunt u voor een deel beperken met cryptografie. Door te zorgen voor een veilige verbinding tussen het bedrijfsnetwerk en de werkplek thuis.

Communicatiebeveiliging

Een belangrijk onderdeel waarnaar gekeken wordt bij communicatiebeveiliging is informatietransport. Het doel is om de beveiliging tijdens het uitwisselen van gegevens te handhaven. Bijvoorbeeld met cryptografie dus. Het gaat hierbij om gegevens die u uitwisselt met externe partijen. Bijvoorbeeld een aannemer die bij een woningcorporatie kan inloggen om te kijken welk onderhoud er nodig is. Of een bedrijf dat u inhuurt om bepaalde gegevens te beheren. Bij een nulmeting bekijkt u ook of u afspraken heeft gemaakt over de beveiliging van deze gegevens. Dit komt ook terug in het hoofdstuk leveranciersrelaties.

Leveranciersrelaties

U blijft verantwoordelijk voor de beveiliging van gegevens. Ook als u het beheer van uw gegevens uitbesteedt aan een externe partij. In een overeenkomst maakt u hier afspraken over. Als het gaat om persoonsgegevens, bent u straks met de Algemene Verordening Gegevensbescherming (AVG) zelfs verplicht om een Verwerkersovereenkomst op te stellen. Hierin maakt u met de leverancier afspraken over de wijze van invulling van verwerking en informatiebeveiliging, de verantwoordelijkheden hierin en de doelbinding van de verwerking. Maar daarbij blijft het niet: de norm geeft ook aan dat het belangrijk is om een vinger aan de pols te houden. Blijft u de informatiebeveiliging bij uw leverancier monitoren?

Tot slot

In de praktijk zie ik steeds vaker dat organisaties aan de voorkant informatiebeveiliging al bespreken met externe partijen. Of dat certificering op het gebied van informatiebeveiliging bijvoorbeeld al een knock-outcriterium is bij een aanbesteding. Zo leggen organisaties een gezonde basis voor het uitwisselen van gegevens. In de norm staan echter ook meer aandachtsgebieden, zoals de monitoring, beoordeling en auditing van hun beheer en beveiliging. Zodat het overeengekomen niveau van informatiebeveiliging wordt geborgd. De 3 onderwerpen in dit blog zijn met elkaar verbonden als het gaat om het uitwisselen van gegevens die belangrijk voor uw organisatie zijn. In mijn volgende blog schrijf ik over weer een volgend thema uit de norm.

Onderwerpen

Informatiebeveiliging