Informatieveiligheid

Wat doet een veiligheidsconsulent, Chief Information Security Officer (CISO) of Data Protection Officer (DPO) nu concreet?

De eenvoudigste manier om dit te illusteren is te vertrekken van de grote domeinen binnen informatieveiligheid en een aantal voorbeelden te benoemen van de activiteiten die een veiligheidsconsulent, CISO of DPO ontplooit om zorg te dragen voor een effectief veiligheidsbeleid binnen dat specifieke domein.

0. Veiligheidsbeleid

Het beleid geeft de doelstellingen van een organisatie aan op het gebied van veiligheid. Dit is meer dan dode letter (of zou het toch moeten zijn). Een informatieveiligheidsbeleid dient goedgekeurd te zijn door de directie of het bestuur van de organisatie, hetgeen niet enkel betekent dat er ergens een officieel stuk is maar dat men ook op bestuursniveau aangeeft het belang in te zien van informatieveiligheid. Een beleid hierrond is een kapstop waaruit de concrete invulling kan worden uitgewerkt.

1. Organisatie van informatieveiligheid

Op welke manier gaat een organisatie concreet om met informatieveiligheid? Zijn er concrete taken, rollen en verantwoordelijkheden beschreven en gekend binnen de organisatie? Is er een orgaan binnen de organisatie, op het juiste niveau, dat zich bezig houdt met opvolgen van informatieveiligheid en ook beslissingen neemt rond het opvolgen en verbeteren van informatieveiligheid?

Informatieveiligheid is zeker niet enkel documentatie, beleiden en grote teksten, maar een basis aan organisatie en toegekende verantwoordelijkheden ligt aan de basis van een effectief veiligheidsbeleid.

2. Medewerkersgerelateerde veiligheid

Wellicht één van de belangrijkste domeinen binnen informatieveiligheid betreft het domein dat zich bezigheid met informatieveiligheid in het kader van medewerkers en het sensibiliseren van deze medewerkers. De volgende vragen o.m. in dit domein beantwoord:

  • Hebben medewerkers indien nodig een vertrouwelijkheidsovereenkomst?
  • Is iedereen zich bewust van zijn plichten en verantwoordelijkheden rond informatieveiligheid?
  • Hoe weten we als organisatie dat medewerkers enkel die rechten krijgen die ze nodig hebben wanneer zij in dienst komen? Of dat deze rechten weer worden ingenomen als iemand van functie wisselt of uit dienst gaat?
  •  Op welke wijze sensibiliseren en trainen wij onze medewerkers op het gebied van informatieveiligheid? Wat hebben we immers aan een veiligheidsbeleid en veiligheidsplan als niemand het kent of begrijpt waarom het belangrijk is?

3. Beheer van middelen en informatie

Een beleid, richtlijnen, organisatie: allemaal goed en wel maar je kunt slechts effectief beveiligen wanneer je als organisatie weet wat  je hebt, waar het staat en waar het voor gebruikt wordt. Deze drie componenten laten toe een juiste beveiligingsstrategie te bepalen voor informatie of andere assets.

4. Toegangscontrole

Specifiek gericht op logische toegangscontrole: op welke wijze zijn de applicaties en systemen beveiligd. Hoe krijgt men toegang en welke rechten heeft men in een systeem? Wie kan deze rechten of informatie in een systeem raadplegen of wijzigen en op welke wijze is hiervan een audit trail beschikbaar? Dit zijn slechts enkele van de vragen die dienen beantwoord te worden binnen dit domein.

5. Cryptografie

Encryptie, versleuteling, of cryptografie, is het toepassen van specifieke technieken die informatie op zo’n manier beveiligen dat de informatie enkel beschikbaar is voor diegenen die wij als organisatie toegang willen geven tot de gegevens. Het kan hierbij gaan om geëncrypteerde communicatie, databasevelden, bestanden etc. en betreft een essentieel onderdeel van het beveiligen van informatie.

6. Fysieke veiligheid

Fysieke veiligheid handelt over de fysieke factoren van informatieveiligheid. Wat is het nut van streng beveiligde servers als de deur van het serverlokaal niet afgesloten is? Staat de server met gegevens op een locatie die als eerste vlam zal vatten bij een kortsluiting? Heeft de organisatie camera’s of correct afgesloten ruimtes?

7. Operationele veiligheid

Uw IT afdeling is dagelijks bezig om te zorgen dat onze steeds groter wordende afhankelijkheid van ICT middelen ons niet de das om doet door er voor te zorgen dat alle ICT middelen zo effectief mogelijk worden ingezet. Bij de uitvoering van deze operationele activiteiten is ook oog voor veiligheid nodig. Worden alle servers tijdig gepatcht? Staat er beschermingssoftware op alle eindgebruiker toestellen?

8. Veiligheid van communicatie

Hoe zijn de onderling communicerende netwerken beveiligd? Zijn de verbindingen via VPN? Is er een firewall en archtectuurplaatje opgezet? Zijn er afspraken over de wijze waarop informatie wordt uitgewisseld?

9. Onderhoud en ontwikkeling van systemen

Dit domein handelt over de wijze waarop IT projecten worden uitgerold, in welke mate veiligheid hierin structureel meeloopt en welk proces een systeem of applicatie moet doorlopen alvorens het klaar is om in productie te zetten. Keywords in dit kader: privacy of security by design, externe partners, overeenkomsten, onderaannemers

10. Leveranciersrelaties

Leveranciers zijn er in alle soorten en maten, en sommige hebben vergaande toegang tot de informatie in de systemen van de klant. Denk hierbij aan vormen van managed hosting, ingehuurde ITers: welke concrete afspraken zijn er? Hebben deze partijen een NDA of vertrouwelijkheidsovereenkomst getekend?

11. Incident managent

Als er dan onverhoopt toch iets toch gebeuren, weet dan iedereen hoe om te gaan met een incident? Bij wie men terecht kan? Hoe lering getrokken kan worden uit incidenten?

12. Business Continuity

Informatie en de beschikbaarheid ervan is een kritische factor voor veel organisaties. Business Continuity is het proces rond het continueren van dienstverlening wanneer er incidenten zijn. Wat als de server het begeeft, er brand uitbreekt of iemand langdurig ziek is?

13. Compliance

Volgen we de juiste wetten? Hebben wij machtingen of andere verklaringen van de privacommissie of Vlaamse Toezichtcommissie nodig? Worden er externe audits uitgevoerd en zoja wannee?