Vaak wordt bij de term cybersecurity gedacht aan de technische kant. Dit is natuurlijk een heel erg belangrijk onderdeel van informatiebeveiliging maar het is zeker niet het enige onderdeel. Naast de technische kant zijn er nog drie andere onderdelen waar je ook zeker op moet letten.

Als wij met klanten in gesprek gaan dan vragen we CISO Roy Sandbergen om mee te kijken. Zelf gebruikt hij deze 4 onderdelen waarin informatiebeveiliging kan worden toegepast: Organisatie, Mens, Techniek en Fysieke beveiliging.

Hieronder lichten we ieder onderdeel toe.

De organisatie

De eerste in de reeks is de organisatie. Hoe is de beveiliging van informatie op organisatieniveau geregeld? Het is goed om na te denken over het volgende:

  1. Is er een informatiebeveiligingsbeleid? Want hoe kan je nu je medewerkers vragen om veilig met informatie om te gaan als je als organisatie zelf geen richtlijnen hebt?
  2. Ligt er een ‘disaster recovery plan’ klaar? Wat ga je doen als je alsnog te maken krijgt met een beveiligingsongeluk? Met wie communiceer je, wat herstel je en in welke volgorde? Wanneer maak je bepaalde beslissingen over een uitwijkplan of eventuele kosten en wie mag die beslissing maken? Dit zijn enkele onderwerpen die in zo een plan kunnen staan. Je kan hier namelijk beter rustig over nadenken en een plan hebben liggen dan wanneer “ het huis in brand staat
  3. Procedure rondom in- en uitdiensttreden. Bij indiensttreding: Welke rechten worden er toegewezen? Bij uitdiensttreden. Wat moet er ingeleverd worden? Zet je alle accounts uit? Denk hierbij aan applicaties van derden maar ook bijvoorbeeld het inleveren van de sleutel of de alarm code.
  4. Aan welke wet-en-regelgeving moet jij als organisatie voldoen en hoe borg je dit?
  5. Worden rechten die zijn verdeeld (lees: toegang tot informatie) regelmatig gecontroleerd en her-beoordeeld?

Zo zijn er natuurlijk op organisatie niveau veel meer voorbeelden te noemen die je kan implementeren ten behoeve van informatiebeveiliging. Dit zal per organisatie weer anders zijn.

De mens

De mens is een belangrijk onderdeel binnen informatiebeveiliging. Het grootste gedeelte van informatielekken komt voort uit menselijke acties. Een ongeluk zit in een klein hoekje. En dat is menselijk. Enkele voorbeelden waaraan je zou kunnen denken zijn:

  1. Is er voldoende bewustwording over de gevaren van bijvoorbeeld phishing?
  2. Is er voldoende bekendheid met de wet en regelgeving zoals bijvoorbeeld de rechten maar ook plichten van het verwerken van persoonsgegevens?
  3. Zijn alle medewerkers op de hoogte van het informatiebeveiligingsbeleid van de organisatie en wordt dit ook regelmatig herhaald? Is het bekend wanneer en aan wie een beveiligingsongeluk kan worden gemeld?
  4. Wordt data in transport (mail, usb, cd, externe harde schijf) versleuteld?
  5. Worden computers geblokkeerd als deze niet worden gebruikt?

Wil je weten hoe de bewustwording is binnen jouw organisatie beter kan? Wij hebben een Awareness training waarmee je de bewustwording verhoogd door steeds kleine testjes te delen met collega’s.

Lees meer over de Security Awareness training

Techniek

Na de organisatie en de mens komen we bij de techniek. Dit kan je weer opsplitsen in preventie, detectie en respons.

  1. Het begint met een veilige configuratie en het goed patchen/updaten van het ICT-landschap.
  2. Daarnaast komt de authenticatie en autorisatie. Een mooi voorbeeld is het gebruik van Multi Factor Authenticatie (MFA).
  3. Het inregelen van een goede back-up oplossing en deze regelmatig controleren op werking is een belangrijk onderdeel.
  4. Pas encryptie toe en maak gebruik van anti-virus en/of anti-spam.
  5. Maak gebruik van alerts door middel van bijvoorbeeld software die een waarschuwing geeft als er een kwetsbaarheid wordt geconstateerd of misschien wel afwijkend gedrag wordt waargenomen.

Fysieke beveiliging

Scherm je informatie of informatiedragers af met een slot, afgeschermde ruimte en andere beveiligingsmiddelen zoals alarm en camera’s.

Welke maatregelen voor jouw organisatie belangrijk zijn kan je door middel van bijvoorbeeld een risicobeoordeling uitwerken. Want eerst moet je weten wat je hebt voordat je het kan beveiligen.