MBIS blog

MBIS blog

Informatiebeveiliging: wie mag waar bij?

Blogger: Ton Schilder op 31-okt-2017 9:13:37

Informatiebeveiliging: wie mag waarbij?

 

Het eerste blog uit deze blogserie ging over de 4 pijlers die randvoorwaardelijk zijn bij het onderwerp informatiebeveiliging. Bij een nulmeting kijken we daarnaast ook naar een aantal specifieke onderwerpen. In dit blog leg ik 3 onderwerpen uit die onderling samenhangen.

1. Veilig personeel

Tijdens een nulmeting is er aandacht voor veilig personeel voorafgaand aan, tijdens en bij het einde van een dienstverband:

  • Voorafgaand: het werving- en selectieproces in uw organisatie moet op orde zijn. Heeft u een vorm van pre-employment screening ingericht? Weet wie u binnen haalt als medewerker of externe inhuur. Bijvoorbeeld door een check te doen op diploma’s en/of referenties. Zo vermindert u het risico van diefstal en fraude.
  • Tijdens: beveiliging is van iedereen in de organisatie. Hoe faciliteert uw organisatie de medewerkers op het gebied van informatiebeveiliging? Bijvoorbeeld door informatiebeveiliging onderdeel te maken van het introductieprogramma. Of door trainingen en workshops aan te bieden. DPA heeft een nulmeting voor bewustwording ontwikkeld. Zo krijgt u inzicht in waar uw organisatie staat qua bewustwording. Zodat u de juiste instrumenten kunt inzetten om uw medewerkers te faciliteren.
  • Einde: de medewerker levert op zijn laatste dag zijn laptop, telefoon en misschien zelfs een leaseauto in. Maar hoe zit het met zijn accounts? In de praktijk kom ik het bijvoorbeeld nog geregeld tegen dat een ex-medewerker vanuit huis nog gewoon kan inloggen. Wat moet er gebeuren als iemand uit dienst gaat? Denk ook aan de raakvlakken met it en het beheer van de toegang.

2. Beheer van bedrijfsmiddelen

Heeft u in kaart gebracht welke informatie u verwerkt in de organisatie? Dan kunt u deze informatie ook classificeren. Bij de nulmeting kijken we in hoeverre u al heeft nagedacht over deze classificatie. U kunt de verschillende informatiesoorten bijvoorbeeld classificeren als hoog, midden en laag. Uw kroonjuwelen bestaan uit informatie met de classificatie hoog. Het is aan te raden om als proceseigenaren de betrouwbaarheidseisen per informatiesoort te benoemen om zo tot een geschikte classificatie te komen. Dit zijn de betrouwbaarheidseisen:

  1. Beschikbaarheid: hoe beschikbaar moet de informatie zijn? Wat gebeurt er bijvoorbeeld als een systeem een paar uur uitvalt? Is dat kritiek of niet?
  2. Vertrouwelijkheid: hoe vertrouwelijk moet de informatie zijn?
  3. Integriteit: hoe correct moet de informatie zijn? Is een foutmarge mogelijk of niet?

U heeft hierover trouwens vaak bewust of onbewust al afspraken over gemaakt als u samenwerkt met een externe partner.

3. Toegangsbeveiliging

Het doel van dit onderwerp is dat u in uw organisatie de toegang tot informatie en systemen kunt beheersen. Natuurlijk is het daarbij belangrijk om eerst te weten wat u in huis hebt. Zo kunt u vaststellen hoe u om wilt gaan met autorisatiebeheer. Wie mag bij welke informatie komen en waarom? Wie heeft toegang tot het netwerk? Wie beheert deze toegang? Een belangrijk uitgangspunt hierbij kan het ‘need to know’-principe zijn: alleen de personen die bij bepaalde informatie moeten kunnen, krijgen toegang. In plaats van alles open voor iedereen of beperkte afscherming.

Tot slot

Toegang tot informatie heeft raakvlakken met zowel directie als HRM als IT. De directie formuleert met proceseigenaren wat de kroonjuwelen zijn. HRM zorgt voor screening van medewerkers en beleid als iemand uit dienst gaat. IT zorgt met autorisatiebeheer dat de juiste personen bij de juiste informatie kunnen. Verbeterpunten die op deze 3 besproken onderwerpen naar voren komen, kunnen dan ook gezamenlijk in een proces worden opgepakt. Mijn volgende blog gaat verder met meer onderwerpen uit de nulmeting. Bijvoorbeeld de digitale beveiliging van gegevens (cryptologie) en fysieke beveiliging en toegang.