Basiskennis informatiebeveiliging - Het kernproces
We leven in een digitale wereld waarin veel persoonlijke informatie wordt gedeeld en wordt opgeslagen. Hierbij is goede en adequate informatiebeveiliging van groot belang. De omvang van informatiebeveiliging kan u op het eerste oog afschrikken. Het lijkt een complexe vorm van beveiliging. Toch hoeft dat niet zo te zijn. In dit artikel staan wij stil bij de basiskennis informatiebeveiliging.
Het kernproces van informatiebeveiliging biedt de basis van goede beveiliging. Ondanks dat het een proces is, denkt men vaak dat informatiebeveiliging een eenmalige taak is. Voor een duurzaam resultaat dient het kernproces herhaald doorlopen te worden. Het bestaat uit de volgende stappen:
- Inventariseren van informatie
- Analyseren van risico’s
- Implementeren van maatregelen
- Controleren van effectiviteit
Inventariseren van informatie
Bij het inventariseren van informatiestromen draait het om de informatie die binnen de eigen organisatie wordt beheerd en verwerkt. Dit is de allereerste stap binnen het kernproces van informatiebeveiliging. Het betreft niet alleen de informatiestromen binnen de eigen organisatie en de eigen processen, maar zeker ook op de diensten en producten die worden geleverd aan klanten, gebruikers et cetera.
Zodra duidelijk is welke informatie er binnen de organisatie wordt beheerd en verwerkt, kan een vervolgstap worden gezet. Hierbij bepaalt u de ‘waarde’ van de informatie voor alle betrokkenen en belanghebbenden. Dit gaat hand in hand met informatieclassificatie. Hier gaan we in ons volgend artikel dieper op in.
Analyseren van risico’s
Wanneer u inzicht heeft welke informatie er binnen uw organisatie verwerkt en opgeslagen wordt, kunt u door naar de volgende stap van het kernproces. U gaat nu analyseren welke risico’s er zijn ten aanzien van de beheerde en verwerkte informatie binnen uw organisatie.
Aan de hand van de toegekende waarde (zie hierboven) kunt u de impact van specifieke dreigingen voor belanghebbenden bepalen. Wanneer u deze risico’s op een structurele manier analyseert, kunt u inzicht krijgen in welke risico’s relevant zijn voor uw organisatie. Hierbij kunt u gebruik maken van speciale dreigingsmodellen, zoals RAVIB of MAPGOOD. Deze modellen helpen u om een volledige analyse uit te voeren.
Implementeren van maatregelen
Als bekend is welke risico’s er zijn, kunt u de juiste maatregelen treffen om de kans of de impact van de risico’s te verminderen. De maatregelen kunt u baseren op bestaande raamwerken of normenkaders, zoals de ISO 27001, NEN 7510, COBIT 2019 et cetera. De te nemen maatregelen kunnen zowel technisch als organisatorisch van aard zijn.
Veel van de te nemen maatregelen zijn gerelateerd aan IT apparatuur en/of software. Maar bij informatiebeveiliging komt ook veel mensenwerk kennen. Dit is vaak ook de oorzaak van de nodige problematiek. Daarom is het van belang dat uw werknemers bewust zijn van de risico’s op bijvoorbeeld een datalek, ontstaan door een beveiligingsincident.
Controleren van effectiviteit
Tot slot dient u regelmatig een controle uit te voeren om te controleren of uw maatregelen het voorspelde effect hebben. Het beste en duurste slot is immers waardeloos als u er geen of onvoldoende gebruik van maakt.
Uw informatiebeveiliging op orde
Zoals eerder aangegeven is het kernproces geen taak maar een doorlopende cyclus van taken. Om dit geheel goed te kunnen sturen, is het van belang dat er beleid is rondom informatiebeveiliging binnen uw organisatie. Ook doelstellingen, rollen en verantwoordelijkheden dienen afgestemd te worden om goede informatiebeveiliging te kunnen voeren. In ons volgend artikel gaan we dieper in op informatieclassificatie, dit kan u helpen bij het inventariseren van uw informatiestromen.
Onze software Base27 kan u helpen bij het analyseren van de risico’s binnen uw organisatie en maakt de uitvoering en opvolging van een risicoanalyse gemakkelijker.
Lees het hele artikel op Axxemble.nl
Door: Berend Tel, Axxemble
