Digitalisering biedt enorme kansen, maar brengt tegelijkertijd ook grote risico’s met zich mee. Beveiliging van bedrijfsdata is belangrijker dan ooit om de beschikbaarheid, integriteit en vertrouwelijkheid te kunnen waarborgen. Waar begint u en waar moet u allemaal aan denken? Wij geven u 7 handvatten om uw bedrijfsdata beter te beveiligen.
Wilt u weten of u voldoende maatregelen treft om de risico’s op fraude tot een minimum te beperken? Met de checklist 'Is uw Dynamics applicatie "fraudeproof"?' ziet u in één oogopslag welke punten reeds aanwezig zijn en welke wellicht in uw Dynamics applicatie nog onvoldoende aandacht krijgen.
1. Management toewijding en IB awareness
Beveiliging begint bij aandacht en bewustzijn. De maatregelen die worden genomen om beveiligingsrisico’s te mitigeren raken een groot aantal lagen in de organisatie. Niet alleen security personeel is verantwoordelijk voor het uitvoeren of het houden aan deze maatregelen. Het is daarom heel belangrijk bewustzijn van informatiebeveiliging onder alle medewerkers in de organisatie te bevorderen. Denk aan phishing campagnes, een mysteryguest of simpelweg aandacht voor informatiebeveiliging bij indiensttreding. Als manager moet u zorgen voor voldoende middelen, zoals budget en uren, maar moet u ook uitstralen dat informatiebeveiliging hoog op de agenda staat, door hier bijvoorbeeld vast aandacht aan te besteden tijdens MT vergaderingen.
2. Risicoanalyse
U kunt alleen de juiste maatregelen nemen door eerst te analyseren welke risico’s er eigenlijk zijn. Een risicoanalyse begint bij de inventarisatie en classificatie van informatiemiddelen. Welke risico’s spelen er bijvoorbeeld bij het gebruik van een SaaS ERP systeem en welke impact heeft dit op de beschikbaarheid, integriteit en vertrouwelijkheid van de data? Hiermee kunt u passende maatregelen opzetten en implementeren.
3. Dataclassificatie
“Data die niet meer wordt gebruikt of niet meer actueel is, moet worden verwijderd.” of “In testomgevingen wordt nooit Live data gebruikt”. Het klinkt als eenvoudige regels, maar blijkt in de praktijk lastig. Tot wanneer bewaart u bijvoorbeeld back-up data? Hoe zorgt u dat de testomgeving representatief is zonder Live data? Voer een dataclassificatie uit en bepaal in welke mate data vertrouwelijk, integer en beschikbaar moet zijn. Gebruik dit als grondslag voor de maatregelen die u toepast. Is de beschikbaarheid van bepaalde data veel belangrijker dan de vertrouwelijkheid? Dan is het logischer meer back-ups te maken en die langer te bewaren dan wanneer dit andersom had geweest.
4. Toegangsbeveiliging
Toegangsbeveiliging is een maatregel die vrijwel op iedere vorm van bedrijfsdata relevant en van toepassing is. Toegangsbeveiliging is meer dan een maatregel om vertrouwelijkheid te borgen, maar kan veel breder worden toegepast. Denk bijvoorbeeld aan de volgende maatregelen:
- Fysieke toegangsbeveiliging van datadragers (sloten op de deur, camerabeveiliging);
- Encryptie van data at rest en in transit;
- Gebruik van multifactorauthenticatie (MFA);
- Autorisatie inrichting in systemen en het periodiek controleren en beoordelen van de ingerichte autorisaties;
- Maatregelen in het personeel onboarding proces, zoals het gebruik van RBAC (role based access), een autorisatiematrix en akkoord van de gegevenseigenaar;
- Maatregelen in het personeel offboarding proces, zoals een uitdienstchecklist en periodieke review van gebruikersaccounts in systemen;
- Antivirussoftware, firewalls en IPS (intrusion prevention system)
5. Incidentmanagement
Ondanks de maatregelen die worden genomen, komen in iedere organisatie informatiebeveiligingsincidenten voor. Voor de afhandeling, opvolging en het overzicht van incidenten is registratie van incidenten van groot belang. Omdat informatiebeveiliging van toepassing is op alle lagen van de organisatie is bewustzijn bij medewerkers (zie ook punt 1) ook hier van groot belang. Medewerkers moeten weten wanneer het wel en wanneer het niet een IB incident betreft, hoe het IB incident te registreren en te melden en wat het belang is van de registratie. Met het registreren van incidenten zorgt u ervoor dat u problemen kunt identificeren en maatregelen kunt implementeren of bestaande maatregelen kunt aanpassen.
6. Vendor management
Als organisatie bent u qua informatiebeveiliging vaak sterk afhankelijk van leveranciers. Wanneer bedrijfsdata is opgeslagen op de server van een leverancier die informatiebeveiliging niet op orde heeft, loopt u hier alsnog een groot risico. Maak daarom goede afspraken met uw leveranciers over informatiebeveiliging en controleer hun auditrapporten. De relevante afspraken legt u vaak vast in de volgende documenten:
- Contract of leveringsovereenkomst;
- SLA;
- Verwerkersovereenkomst;
- DAP (dossier afspraken en procedures)
7. Audit
Hoe weet u nu of de geïmplementeerde maatregelen ook werkelijk doen waarvoor ze bedoeld zijn, of men zich houdt aan afspraken en of voor alle risico’s maatregelen zijn genomen? Interne monitoring en audits zijn effectief in het controleren en beheersen van een groot deel van de maatregelen. Een externe IT-auditor kan de organisatie helpen door vanuit een andere invalshoek naar te kijken, additionele risico’s te identificeren en de effectiviteit van de maatregelen te beoordelen. Met een assurance rapport kan worden aangetoond aan stakeholders dat de organisatie veilig te werk gaat en het advies uit een IT-audit kan handvatten en draagvlak creëren voor het verbeteren van de beheersingsmaatregelen.
Direct aan de slag?
Neem contact op voor meer informatie over informatiebeveiliging met een van onze specialisten.
