momentum 1momentum 2momentum 3momentum 4

Procesmatige aanpak van informatiebeveiliging

Informatie is een bedrijfsmiddel dat, net als andere belangrijke bedrijfsmiddelen, waarde heeft voor een organisatie en voortdurend op een passende manier beveiligd dient te zijn. Informatiebeveiliging beschermt informatie tegen een breed scala aan bedreigingen, om de continuïteit van de bedrijfsvoering te waarborgen, de schade voor de organisatie te minimaliseren en het rendement op investeringen en de kansen van de organisatie te optimaliseren. Informatiebeveiliging wordt steeds meer noodzakelijk vanwege het toenemende belang van ICT – applicaties en vanwege het toenemende misbruik van informatie. De methoden hierbij worden steeds agressiever en geraffineerder. Zowel technische maatregelen bij de informatiedragers zijn nodig als ook organisatorische maatregelen bij de uitvoering van de processen.

 

Veel informatiesystemen zijn niet ontworpen met het oog op veiligheid. De beveiliging die met technische middelen kan worden bereikt is begrensd en dient te worden ondersteund door passend beheer en procedures. Om te bepalen welke beveiligingsmaatregelen gebruikt moeten worden is een zorgvuldige planning en aandacht voor het detail vereist. Management van informatiebeveiliging verlangt de inzet van alle medewerkers van de organisatie.

 

De ervaring wijst uit dat de volgende factoren van wezenlijk belang zijn voor een succesvolle implementatie van informatiebeveiliging in een organisatie:

 

Management van de informatiebeveiliging dat suggesties ter verbetering beoordeelt, realiseert en communiceert.

Het voortdurend signaleren van afwijkingen, beoordelen op consequenties, corrigeren en komen tot preventieve maatregelen vergt een consequente houding in de organisatie.

 

Het proces voor het opstellen van een informatiebeveiligingsplan heeft een sterke focus op de uitvoering van processen. Hier blijken de belangrijkste bedreigingen voor te komen. De relevante wet- en regelgeving voor de bedrijfsactiviteiten vormen de basis voor de maatregelen. Naast de Code voor Informatiebeveiliging en Wet Bescherming Persoonsgegevens worden overige relevante wet- en regelgeving hier aan toegevoegd. Dit leidt tot een set van maatregelen. Op basis van mogelijke bedreigingen voor proces, organisatie en informatie wordt een audit checklist opgesteld. Met de checklist wordt met proceseigenaren de mogelijke kans en de mogelijke schade bepaald. Kans en schade worden uitgedrukt in de score van ‘laag’, ‘midden’, hoog’ en ‘extra hoog’. De score van kans en schade bepaalt de noodzaak van te nemen maatregelen en vormen het Risicoprofiel. In het Beheersprofiel wordt geïnventariseerd welke maatregelen al operationeel zijn. Het verschil tussen noodzakelijke maatregelen volgens het Risicoprofiel en de operationele maatregelen volgens het Beheersprofiel vormen het Informatiebeveiligingsplan.