Snel en flexibel kunnen beschikken over betrouwbare informatie vormt een belangrijke factor voor succesvol zakendoen. Informatie is in vele gevallen de onderscheidende productiefactor, want door snel over de juiste gegevens te beschikken kun je tijdig de juiste beslissingen nemen en zo een voorsprong op de concurrentie nemen. Hoewel die informatievergaring grote opportuniteiten met zich meebrengt, kleven er ook grote risico’s aan.
CIA
Informatiebeveiliging behandelt alle beveiligingsaspecten van informatie in gesproken, geschreven, elektronische of andere vorm. Informatiebeveiliging heeft als doel om deze informatie toegankelijk te maken voor zij die er recht op hebben en deze tevens te beschermen tegen verlies en ongeoorloofde toegang of wijzigingen. Samengevat kunnen we stellen dat deze doelstellingen bereikt zijn als:
- alle informatiesystemen beschikbaar zijn, ingezet kunnen worden wanneer ze nodig zijn en dat ze op een voldoende wijze een aanval kunnen weerstaan of snel kunnen herstellen van eventueel opgelopen fouten (beschikbaarheid)
- alle informatie enkel toegankelijk is voor zij die er recht op hebben (vertrouwelijkheid)
- alle informatie beschermd is tegen ongeoorloofde wijzigingen of fouten zodat deze juist, volledig en geldig is en blijft (integriteit)
- elke elektronische transactie of informatie-uitwisseling tussen bedrijven, klanten, leveranciers en partners volledig betrouwbaar is (betrouwbaarheid)
Om deze kwaliteitsvereisten te realiseren is een goed beleid rond informatiebeveiliging noodzakelijk.
Een verantwoordelijkheid van zowel IT- als businessmanagement
Uiteraard wordt informatie in organisaties veelal beheerd en verwerkt in IT systemen en IT management heeft een belangrijke verantwoordelijkheid om de beveiliging binnen en rond deze systemen te waarborgen. Maar uit de vele security incidenten, en recente wetgeving zoals GDPR (General Data Protection Act) blijkt duidelijk dat deze silo-benadering niet afdoende is. Een goed informatiebeveiligingsbeleid start bij de eigenaar van die informatie, de business zelf. En dus, om tot een goed werkende informatiebeveiliging te komen is het belangrijk dat het business en IT management gezamenlijk een kader creëert waarbinnen een informatie beveiligingsprogramma vorm krijgt en opgevolgd kan worden.
Het succes van een dergelijk beveiligingsplan kan pas gemeten worden als er duidelijke objectieven worden vooropgesteld samen met de bijbehorende metrieken. Doelstellingen en hun metrieken voor informatiebeveiling moeten op het niveau van business en IT worden gedefinieerd en hun onderlinge relatie moet duidelijk zijn.
Aan de slag
Veel businessmanagers dienen zich bij te scholen om de vertaalslag te kunnen maken van business naar IT en vice versa. Het uitwerken van een goed beveiligingsplan vereist immers inzicht in zowel zakelijke als digitale strategie en processen, alsook kennis van bestaande frameworks die de vertaalslag helpen maken van de conceptuele inzichten naar een praktijkgerichte aanpak voor de organisatie.
Eén van de beschikbare praktische raamwerken die een aantal duidelijke richtlijnen voor informatiebeveiliging aanreiken is COBIT (Control Objectives for Information and related technologies). COBIT brengt een aantal goede praktijken samen voor het beheer, de controle en de beveiliging van informatietechnologie in het algemeen. Andere veel vermelde raamwerken in het informatiebeveiligingsdomein zijn 'ISO 27000' en 'The Standard of Good Practice for Information Security'. Beide raamwerken zijn zeer complementair aan COBIT en kunnen dus als een geheel gebruikt worden om een gepast informatiebeveiligingbeleid uit te bouwen.
Maak zelf de vertaalslag van business naar IT, gebruik bestaande frameworks en stel een geïntegreerd informatiebeveiliginsplan op.
