Best practices

Een gedegen informatiebeveiligingsbeleid opstellen: 5 stappen

5 stappen naar een gedegen informatiebeveiligingsbeleid

Informatiebeveiligingsbeleid is voor elke onderneming van levensbelang. Data is het belangrijkste product van bijna elk bedrijf. En dat moet goed beschermd worden. Welke rol het bestuur moet spelen bij het formuleren en implementeren van een adequaat informatiebeveiligingsbeleid en welke cruciale stappen uw bedrijf moet nemen in een tijd waarin data en databescherming actueler zijn dan ooit, leest u in deze blog.

In 2017 telde de Autoriteit Persoonsgegevens[i] (AP) maar liefst 10.000 meldingen van datalekken in Nederland. Dat is een toename van ruim 70 procent ten opzichte van het jaar ervoor. De meeste datalekken werden gemeld door organisaties uit de sectoren zorg en welzijn, openbaar bestuur en financiële dienstverlening.

Meldplicht
Dat de Autoriteit Persoonsgegevens datalekken serieus neemt, blijkt alleen al uit het feit dat sinds januari 2016 de dienst een meldplicht voor datalekken heeft ingevoerd. Deze wettelijke verplichting bepaalt dat organisaties direct melding moeten maken van een ernstig datalek. Onder de nieuwe Europese privacywet, de Algemene verordening gegevensbescherming (AVG), die sinds 25 mei 2018 geldt, blijft deze meldplicht bestaan. Daarnaast zijn er strengere eisen gesteld. Bedrijven moeten alle datalekken documenteren. Aan de hand van deze documentatie moet de AP kunnen controleren of een bedrijf aan de meldplicht datalekken heeft voldaan.

Maar wat is een datalek precies? Een datalek wordt door de AP gedefinieerd als toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de intentie was. Het is daarmee niet beperkt tot het naar buiten komen van informatie – een concreet lek – maar ondervangt ook de onrechtmatige verwerking van gegevens, waarbij bescherming van deze data niet conform de geldende wetgeving is.

Directe en indirecte kosten
Dat bedrijven informatiebeveiligingsbeleid serieus moeten nemen, blijkt niet alleen uit de wetgeving, maar ook uit de schade die datalekken kunnen veroorzaken. Los van grote potentiele reputatieschade, kunnen bedrijven zonder een goed informatiebeveiligingsbeleid bedrijfsgevoelige informatie verliezen. Dit jaar verscheen een internationale studie[ii] van IBM Security en het Ponemon Institute onder securitypersoneel van bijna vijfhonderd bedrijven. Daaruit blijkt dat de gemiddelde kosten op zo’n 3,86 miljoen dollar per lek liggen.

Uiteraard worden deze cijfers vertekend door een aantal megalekken waar 1 tot 50 miljoen dossier zijn buitgemaakt. Kosten: tussen de 40 en 350 miljoen dollar. Desalniettemin geven de respondenten allemaal aan dat zowel de directe als de indirecte kosten van een datalek significant zijn. Directe kosten betreffen uiteraard het herstel, maar ook het op de hoogte brengen van slachtoffers en het weer optuigen van een goede informatiebeveiliging. Beleid waarin kosten van datalekken worden geformuleerd moeten ook rekening houden met de indirecte kosten van datalekken, waaronder het verlies van klanten en reputatie.

Het opstellen van een informatiebeveiligingsbeleid
Het is voor iedere onderneming dus van cruciaal belang een goed informatiebeveiligingsbeleid te formuleren en te implementeren om daarmee verzekerd te zijn dat alle data van het bedrijf goed is beveiligd tegen internetcriminelen, hackers of per ongeluk openbaar gebrachte stukken. Maar wat staat er in een informatiebeveiligingsbeleid? Een geïdentificeerde inventaris is een belangrijk onderdeel bij dit beleid. Door data en datastromen vast te leggen, ontstaat er een beeld wat er allemaal is, wie het beheert en wie de eigenaar van de specifieke data is. Dat is van belang om bij een melding van een inbraak zo snel mogelijk het systeem te kunnen isoleren en repareren.

Uiteraard moet bij het opstellen van een informatiebeveiligingsbeleid ook de bedrijfscultuur worden opgenomen. Iedere werknemer moet niet alleen doordrongen zijn van het feit dat bedrijfsinformatie in welke vorm dan ook nooit de werkplek mag verlaten. Daarmee worden incidenten voorkomen als een vergeten koffer met gevoelige stukken in de trein of het per abuis openbaar maken van data via social media of e-mail.

Niet geheel onbelangrijk is het feit dat het informatiebeveiligingsbeleid een basis moet vormen van de ISO/IEC 27001-certificering, het belangrijkste certificaat binnen de IT op het gebied van databescherming. Het vastleggen van een informatiebeveiligingsbeleid – en het actief uitvoeren daarvan – is kortom een essentiële stap in de maturity van een bedrijf op het gebied van security en IT.

Vijf stappen
Er geldt een aantal basisvoorwaarden voor een optimaal informatiebeveiligingsbeleid. We benoemen ze alle vijf.

Stap 1   Top-down
Een goed geïmplementeerd informatiebeveiligingsbeleid begint bij de top van een bedrijf. Pas wanneer het bestuur en het management nut en noodzaak ziet én uitdraagt op de werkvloer, raakt het hele bedrijf doordrongen van de risico’s op datalekken. Het gaat hierbij niet alleen om interne communicatie, maar ook om het daadwerkelijk beschikbaar stellen van alle benodigde middelen.

Stap 2   Stel een risicoanalyse op
Het lekken van data is voor veel mensen theoretisch. Met een analyse van de praktijk en de bedrijfsspecifieke dreigingen wordt voor iedereen duidelijk wat de concrete risico’s zijn. Met een projectteam waarin alle lagen van uw organisatie vertegenwoordigd zijn kan een breed gedragen onderzoek worden ingesteld. Verticaal door de organisatie heen voelen mensen zich hierdoor betrokken en verantwoordelijk om binnen hun eigen interne of externe afdelingsprocessen rekening te houden met goede informatiebeveiliging.

Stap 3   Instrueer medewerkers
In bijna alle gevallen van een datalek is de oorzaak niet falende IT, maar een menselijke fout. Instrueer uw medewerkers goed over het gebruik van data, maar zeker ook over het gebruik van eigen apparatuur, risicovolle software als Dropbox en social media. Neem daarom in het informatiebeveiligingsbeleid op dat alle collega’s alleen bedrijfsapparatuur gebruiken en daar niet op eigen houtje software op te downloaden.

Stap 4   Niet te complex
Het informatiebeveiligingsbeleid moet helder en begrijpelijk zijn voor iedereen. Richtlijnen voortvloeiend uit dit beleid moet iedereen niet alleen volledig begrijpen, maar ook actief naleven. Door simpele maatregelen te treffen bent u verzekerd van een borging van uw informatiebeveiligingsbeleid ook op de lange termijn.

Stap 5   Evalueer
Tot slot kan uw informatiebeveiligingsbeleid verder aangescherpt worden door het uit laten voeren van testen, audits en reviews. Blijf scherp op het bewustzijn van databescherming binnen uw bedrijfscultuur en laat regelmatig alle toegangsrechten controleren.

Bronnen

[i] Autoriteit Persoonsgegevens
[ii] Studie IBM

AANBEVOLEN BLOGS