Veel organisaties gaan ervan uit dat informatiebeveiliging alleen relevant is wanneer zij onder specifieke wetgeving vallen, zoals de Cyberbeveiligingswet (CBW). In de praktijk ligt dit anders. Ook als uw organisatie niet onder deze wet valt, is het essentieel om informatiebeveiliging serieus te nemen. De digitale risico’s waar organisaties mee te maken hebben, houden zich niet aan wettelijke grenzen. In dit artikel bespreken wij waarom en hoe u iets kunt doen aan informatiebeveiliging, ook als uw bedrijf niet binnen de wettelijke kaders van de CBW valt.
U hebt de verantwoordelijkheid
Wendy Sikkema, Security Consultant bij Nestor Security vertelt: “Organisaties hebben vaak meer te beschermen dan zij in eerste instantie denken. Zij verwerken klantgegevens of zijn afhankelijk van digitale systemen om dienstverlening te kunnen leveren. In sommige gevallen zijn andere partijen ook afhankelijk van een organisatie. Wanneer systemen uitvallen of persoonsgegevens op straat komen te liggen, heeft dat direct impact op alle betrokkenen. Het kan ook zorgen voor imagoschade bij een organisatie die getroffen is door een datalek.”
Het komt ook steeds vaker voor dat opdrachtgevers eisen stellen aan informatiebeveiliging. Een ISO-certificering kan daarbij een belangrijke waarde zijn. Dergelijke certificering kan getuigen van een gedegen informatiebeveiligingsproces en laat zien dat een organisatie risico's serieus neemt. Het implementeren van ISO 27001 helpt u om uw informatiebeveiliging gestructureerd in te richten. Deze norm sluit daarnaast goed aan op de eisen van de AVG, waar elke organisatie wel aan moet voldoen.
Omgaan met incidenten
Een belangrijk onderdeel van informatiebeveiliging is het omgaan met incidenten. Wanneer de procedure onduidelijk is, gaat er veel kostbare tijd verloren. Het moet helder zijn waar incidenten gemeld kunnen worden en wie verantwoordelijk is voor opvolging. Zeker bij complexe incidenten is gespecialiseerde kennis noodzakelijk. Nadat het incident is afgehandeld, volgt evaluatie. Door te analyseren wat er is gebeurd en wat beter kan, versterkt u uw organisatie. Dit proces vraagt om regelmatige aandacht, actualisatie en oefening.
Begin bij bewustwording
De grootste uitdaging zit vaak in het gedrag van medewerkers. Zij spelen een cruciale rol in de beveiliging van uw organisatie. Wendy licht toe: “In de praktijk gaat het vaak mis door alledaagse handelingen. Werken via een onbeveiligd netwerk, het niet vergrendelen van een laptop als iemand even koffie gaat halen of werken op openbare plekken als de trein, waar men op het beeldscherm mee kan kijken. Cybercriminelen maken misbruik van deze menselijke handelingen om toegang tot gevoelige informatie te krijgen. Men moet zich daarom bewust zijn van de omgeving waarin gewerkt wordt en welke informatie wordt vrijgegeven.”
Bewustwording is dus een essentieel onderdeel van informatiebeveiliging. Medewerkers moeten begrijpen wat de risico's zijn en welke keuzes zij dagelijks moeten maken om deze risico's te minimaliseren. Het is niet alleen belangrijk om uit te leggen wat medewerkers moeten doen, maar ook waarom dit belangrijk is.
Een doorlopend proces
Starten met informatiebeveiliging hoeft niet te betekenen dat u direct grootschalige of kostbare maatregelen moet treffen. Het is belangrijk dat de inspanningen in verhouding staan tot de risico's die u loopt. Voor veel organisaties is het toepassen van een normenkader zoals ISO 27001 een solide basis. Dit kan worden aangevuld met passende, duidelijke processen over werken op een andere locatie dan uw kantoor, bewust omgaan met scherm privacy, en het gebruik van beveiligde verbindingen zoals een VPN.
Informatiebeveiliging is een continu proces dat aandacht vraagt. Door beleid regelmatig te actualiseren en medewerkers actief te betrekken, zorgt u dat het onderwerp levend blijft binnen uw organisatie. Alleen dan wordt het onderdeel van de cultuur, in plaats van een verplichting op papier.
Nestor Security denkt graag met u mee over informatiebeveiliging op maat. Neem snel contact op!