Informatiebeveiliging - Identity Management | Tools4ever
Gratis Demo Contact
Baarn : 035 - 54 83 255
Kennisbank Informatiebeveiliging

Informatiebeveiliging

Wat is informatiebeveiliging?

Informatiebeveiliging (IB) omvat alle maatregelen en processen om gegevens binnen je organisatie te beschermen. Dit is nodig om te voorkomen dat onbevoegden je organisatiegegevens kunnen stelen, aanpassen of vernietigen. We gaan er in dit artikel wat dieper op in en geven voorbeelden hoe je je informatiebeveiliging onder controle kunt krijgen en houden.

Rol en belang van informatiebeveiliging

In onze huidige maatschappij draait alles om informatie. Zelfs bij industriële bedrijven valt of staat het productieproces tegenwoordig met de juiste informatie. Datalekken en datadiefstal kunnen enorme schade veroorzaken en hetzelfde geldt voor informatie die ongemerkt wordt aangepast.

Het beschermen van je gegevens is dus cruciaal en daarbij gaat het niet alleen om de gevoelige organisatiedata zoals financiële gegevens en intellectuele eigendommen. Minstens zo kritisch is de beveiliging van persoonlijke gegevens van bijvoorbeeld klanten, leerlingen en medewerkers.  Alle gegevens die zijn te herleiden naar individuele personen moet je altijd veilig opslaan en verwerken. Zelfs openbare informatie die je gewoon publiceert op bijvoorbeeld je website moet goed worden beschermd. Marketingmaterialen, nieuwsberichten en jaarverslagen mogen door iedereen worden ingezien maar je wilt nog steeds niet dat deze informatie ongemerkt wordt gemanipuleerd.

Overigens beperkt informatiebeveiliging zich niet alleen tot digitale gegevens. Ook fysiek bewaarde gegevens moeten beveiligd worden en zijn onderdeel van je informatiebeveiliging. Vandaag de dag betreft een groot deel van de gerapporteerde datalekken nog fysieke data zoals brieven of papieren dossiers.

Hiermee zie je ook het verschil tussen informatiebeveiliging en cyberbeveiliging. Omdat digitale systemen per definitie werken met data zit er veel overlap tussen beide termen, maar informatiebeveiliging betreft dus alle informatie; ook als de gegevens als dikke ordners zijn opgeslagen in een archiefkast. Dat betekent dus ook dat je fysieke toegangsbeveiliging tot bijvoorbeeld archiefruimtes onderdeel is van je informatiebeveiliging.

Voorbeelden van informatiebeveiligingsmaatregelen

Bij informatiebeveiliging breng je je risico’s in beeld en neem je vervolgens beveiligingsmaatregelen om de relevante risico’s zo goed mogelijk te beheersen. Een aantal voorbeelden van zulke maatregelen:

  • Toegangsbeheer is een belangrijke – zo niet de belangrijkste – informatiebeveiligingsmaatregel. Je wilt grip hebben op wie er toegang krijgt tot applicaties en data binnen je IT-omgeving en welke bewerkingen de gebruikers mogen uitvoeren. En zoals we al noemde, ook de fysieke toegang is belangrijk.
  • Versleuteling van gegevens. Encryptie van gegevens is een belangrijke maatregel om te voorkomen dat mensen die ongeautoriseerde toegang krijgen tot een systeem die gegevens ook direct kunnen inzien en bewerken.
  • Niet alle gegevens zijn even kritisch qua beveiliging. Een memo met de kantinekosten is natuurlijk minder gevoelig dan een document met de concept bedrijfsbegroting. Met gegevensclassificaties – zoals openbaar, vertrouwelijk en geheim – kun je eenvoudig verschillende soorten gegevens onderscheiden met ieder een eigen set bijpassende beveiligingsmaatregelen.
  • Apparaat beheer is belangrijk omdat gegevens tegenwoordig niet alleen op systemen worden opgeslagen maar ook op devices van medewerkers. Dat varieert van laptops tot smartphones en tablets. Die gegevens op die apparaten wil je remote kunnen beheren, beveiligen en zelfs eventueel wissen als een apparaat is gestolen. Dat geldt voor apparaten die het eigendom zijn van een organisatie maar ook bij zogeheten BYOD-apparaten (Bring Your Own Device).
  • Een goede databeveiliging begint met een goed georganiseerd gegevensbeheer. Het is niet alleen belangrijk te weten waar je gegevens zijn opgeslagen, maar ook hoelang je ze moet bewaren. Vaak zijn er wetten die bepalen hoe lang je gegevens moet bewaren maar te lang bewaren is ook niet goed. Het risico op datalekken wordt alleen maar groter als je informatie nodeloos bewaart. Ook moet je back-up beheer op orde zijn voor het geval dat er toch iets gebeurt met je data.
  • Bewustwording van medewerkers. Ondanks het belang van allerlei technische en organisatorische maatregelen is het minstens zo belangrijk dat medewerkers bewust zijn van alle beveiligingsrisico’s en weten waar ze op moeten letten. Nog steeds zijn veel datalekken niet het gevolg van een technische hack maar van onbewuste fouten.

Dit zijn maar een paar voorbeelden. Er zijn natuurlijk nog tal van andere relevante beveiligingsmaatregelen die direct of indirect nodig zijn om datalekken te voorkomen. Denk aan zaken als incidentrespons, meldingsprocedure, netwerkbeveiliging, updatebeheer en anti-malware systemen.

Informatiebeveiligingsbeheer

Maar welke beveiligingsmaatregelen zijn in jouw organisatie nuttig en nodig? En wat is de samenhang tussen de verschillende maatregelen en hoe moet je die in jouw organisatie implementeren? Je informatiebeveiliging moet je plannen en beheren met een samenhangend informatiebeveiliging beheersysteem; of op zijn Engels een Information Security Management System (ISMS). In zo’n systeem ga je op een structurele manier om met je informatiebeveiliging.

Zo werk je risico gestuurd. Dat betekent dat je niet zomaar lukraak maatregelen gaat implementeren. Je werkt top down en aan de hand van je bedrijfsdoelen en bedrijfsvoering onderzoek je alle mogelijke beveiligingsrisico’s, hoe groot de kans is dat zo’n risico optreedt en wat de impact ervan is. Zo bepaal je je prioriteiten en aan de hand daarvan ga je beveiligingsmaatregelen uitwerken en implementeren.

Bovendien doe je dat niet eenmalig maar zorg je dat je dit regelmatig herhaalt. Aan de hand van de aanwezige beveiligingsmaatregelen, rapportages over veiligheidsincidenten en veranderingen in je organisatie en je omgeving pas je informatiebeveiliging aan waar dat nodig is. Je wijzigt maatregelen en je implementeert nieuwe om de beveiliging up-to-date te houden.

Informatiebeveiligingsrichtlijnen

Als hulpmiddel bij het opzetten van je informatiebeveiligingsstrategie en -plannen beschik je tegenwoordig over tal van informatiebeveiligingsnormen. Zoals de algemene ISO 27001 standaard, de Baseline Informatiebeveiliging Overheid (BIO) en de NEN 7510 norm over informatiebeveiliging in de zorg. Maar ook voor andere sectoren zoals de financiële markt en het onderwijs zijn er branche specifieke IB-normen. Afhankelijk van de sector zijn zulke normen een advies, zijn ze verplicht of moet je er zelfs in gecertificeerd zijn.

Gelukkig zijn deze moderne richtlijnen geen dogmatische lijsten met eisen die je moet aanvinken als ‘bewijs van veiligheid’. Integendeel, ze bieden meestal een prachtig hulpmiddel om binnen je organisatie zo’n Information Security Management System (ISMS) op te zetten. Het helpt bij je risico analyse en de opzet van een Plan-Do-Check-Act cyclus om je informatiebeveiliging te structureren en actueel te houden. En ze bevatten ook praktische richtlijnen om de vereiste maatregelen te implementeren. Welke eisen moet je bijvoorbeeld stellen aan je wachtwoordbeleid en waaraan moet je back-up beheer voldoen?

Informatiebeveiliging en privacy

We noemden al eerder het belang van de beveiliging van persoonsgegevens. Die krijgen als onderdeel van de privacywetgeving natuurlijk extra aandacht. Binnen Nederland moet je voldoen aan de Algemene verordening gegevensbescherming (AVG). Dit is Nederlandse invulling van de binnen de EU geldende Global Data Protection Regulation (GDPR). In het kader van de AVG heb je als organisatie allerlei verplichtingen als je persoonsgegevens verzamelt, opslaat, verwerkt en deelt.

Een deel van de verplichtingen heeft rechtstreeks te maken met je informatiebeveiliging want de persoonsgegevens moeten uiteraard goed worden beveiligd. En dat is niet alleen tegen kwaadwillende hackers van buiten, ook eigen medewerkers wil je niet zo maar onbeperkt toegang geven. Als we een concreet voorbeeld nemen van informatiebeveiliging in de zorg: in een ziekenhuis mag een arts wél toegang krijgen tot medische gegevens maar bijvoorbeeld een baliemedewerker niet. Dit noemen we wel het Principle of Least Privilege en moet dus worden ingebouwd binnen je informatiebeveiliging.

Realiseer je overigens wel dat de AVG zelf veel breder gaat dan alleen informatiebeveiliging. Het geeft ook een heel juridisch kader met informatie over welke persoonsgegevens een organisatie mag gebruiken, waarvoor en onder welke condities. Ook is vastgelegd in welke gevallen je personen om toestemming moet vragen, hoe je ze daarover moet informeren en hoe je moet omgaan met onverhoopte datalekken. Er is dus een overlap tussen informatiebeveiliging en privacy maar beide onderwerpen hebben een eigen rol binnen de organisatie.

De rol van IAM voor je informatiebeveiliging

Een van de belangrijkste maatregelen om je informatiebeveiliging onder controle te krijgen, is een modern Identity en Access Management (IAM). Je digitale toegangsbeveiliging begint uiteraard met goede oplossingen voor de authenticatie van gebruikers (wie vraagt toegang?) en de bijbehorende autorisaties (welke rechten krijgt de gebruiker). Gangbare beveiligingsmaatregelen hiervoor zijn uiteraard gebruikersnamen en wachtwoorden. Maar er zijn tegenwoordig veel extra verificatiemaatregelen zoals Multi-Factor Authenticatie (MFA) en ook worden steeds meer biometrische toepassingen toegepast zoals vingerafdrukherkenning.

Belangrijk is je te realiseren dat naast deze toegangstechnologieën IAM tegenwoordig vooral een ingewikkeld beheervraagstuk is. Hoe organiseer je in grote organisaties met talloze systemen dat iemand alleen toegang krijgt tot de hoogstnoodzakelijke applicaties en gegevens. Je wilt een verpleger in een ziekenhuis bijvoorbeeld wel toegang geven tot medische systemen, maar dan alleen tot de gegevens van patiënten waar deze medewerker ook echt verantwoordelijk voor is. En dat wil je niet alleen goed instellen bij iemands onboarding maar ook als hij of zij na verloop van tijd een andere functie krijgt of op een andere afdeling gaat werken. En dat wordt nog ingewikkelder met inhuurkrachten die ad hoc diensten draaien op verschillende afdelingen.

Hiervoor wil je de uitgifte en het beheer van toegangsrechten dus volledig automatiseren. Ook wil je als manager op ieder moment kunnen nagaan en aantonen wie welke rechten heeft en waarom (compliance). Dit geautomatiseerde identiteit- en rechtenbeheer is daarom een steeds belangrijker onderdeel van je informatiebeveiliging en moderne IAM oplossingen als HelloID besteden met name hieraan steeds meer aandacht.

Informatiebeveiliging is een samenhangende set van beveiligingsmaatregelen om de opslag, de verwerking en het delen van gegevens binnen je IT-systemen en netwerken zo te organiseren dat de integriteit, vertrouwelijkheid en beschikbaarheid van je informatie gegarandeerd is.

BYOD staat voor Bring Your Own Device, een concept waarin medewerkers een eigen laptop of smartphone gebruiken voor hun werk. Bij informatiebeveiliging moet je dan maatregelen nemen om op dat privé apparaat de organisatiedata strik gescheiden te beheren en voldoende te beveiligen.

< terug naar overzicht