Hoe je een beveiligingsraamwerk kunt gebruiken

Het uitvoeren van een informatiebeveiligingsstrategie voor je organisatie is een project op zich. Beveiligingsraamwerken helpen je daarbij op weg. Het is goed om je vooraf in de aandachtspunten van het gebruik van die raamwerken te verdiepen. Dat helpt je met het maken van de juiste overwegingen. In dit artikel zetten we het voor je op een rijtje.

Inleiding

Het is misschien wel de ergste nachtmerrie van elk bedrijf: hackers die je klantgegevens stelen, je online diensten platleggen of je kritieke IT-systemen en data gijzelen. Dat is geen onterechte angst. In 2020 ontving de Autoriteit Persoonsgegevens 23.976 meldingen van datalekken. Het aantal meldingen naar aanleiding van hacking, malware of phishing-incidenten is gestegen met 30% vergeleken met 2019. Elke week verschijnen er nieuwe berichten over cyberaanvallen in het nieuws.

Wie zich tegen zulke aanvallen wil verdedigen, hoeft gelukkig niet het wiel opnieuw uit te vinden. Bestaande beveiligingsraamwerken zoals ISO 27001 en het NIST Cybersecurity Framework kunnen je helpen om een informatiebeveiligingsstrategie vorm te geven.

Risico’s beperken

Informatiebeveiliging gaat over het beperken van risico’s. Om een informatiebeveiligingsbeleid uit te werken, breng je eerst in kaart welke informatie bedrijfsmiddelen in je organisatie aanwezig zijn, in fysieke of digitale vorm. Welke informatie is kritiek voor de bedrijfsvoering? Hoe worden die nu beveiligd?

Vervolgens kijk je middels een risicoanalyse welke bedreigingen de vertrouwelijkheid, integriteit of beschikbaarheid van die informatie in gevaar brengen. Waar zitten de grootste kwetsbaarheden? Wat zijn dus de risico’s? Zijn die risico’s acceptabel of wil je ze verder terugbrengen?

De volgende stap is om passende maatregelen te nemen om waar nodig je informatie aanvullend te beschermen. Daarbij komen raamwerken van informatiebeveiliging goed van pas. Die bevatten een hele gereedschapskist aan maatregelen op basis van best practices. Je hoeft je daarbij niet te beperken tot één raamwerk. Je kunt ook best practices uit verschillende raamwerken combineren.

Investeringen

Wanneer je maatregelen wil implementeren en onderhouden, dan moet je bereid zijn om daar tijd en geld in te investeren. Niet alleen in het begin, maar ook daarna. Het benodigde budget is uiteraard afhankelijk van het risico. In welke zaken kun je zoal investeren?

  • Het uitwerken, implementeren of aanpassen, uitvoeren en monitoren van processen en procedures, waaronder
    • Beheersing van wijzigingen
    • Monitoring van nieuwe bedreigingen en risico’s.
  • De training van medewerkers.
  • Aanschaf, ingebruikname, gebruik en onderhoud van technische maatregelen, zoals
    • Intrusion detection system dat verdacht verkeer in je bedrijfsnetwerk detecteert
    • Web application firewall die verdacht verkeer van en naar je bedrijfsnetwerk blokkeert
  • Externe audits en testen, zoals
    • Pentratietest op informatiesystemen
    • Certificerende audit bijvoorbeeld langs de normen van ISO 27001 (verderop meer daarover).

Gestructureerde en gestandaardiseerde processen op basis van best practices

Ga je een beveiligingsraamwerk implementeren in je organisatie, dan moet je bestaande procedures en processen aanpassen. Je breidt deze uit met extra stappen en controles om je informatie adequaat te beschermen. Daarnaast implementeer je nieuwe procedures en processen, zoals periodieke audits op de veiligheid van je systemen. Dat doe je volgens de best practices die het beveiligingsraamwerk je biedt.

Dat vraagt om een gestructureerde en herhaalbare manier van werken. Mogelijk moet je op dat gebied nog verbeteringen doorvoeren. Misschien moet je nog je bestaande procedures documenteren. Of checklists introduceren, zodat altijd alle stappen in een werkproces worden gevolgd.

Zoals gezegd: dat vraagt om de nodige investeringen. En het resulteert in méér en omvangrijkere procedures en processen. Maar ook tot een algemene kwaliteitsverbetering van de procedures en processen binnen je organisatie.

De juiste expertise

Informatiebeveiliging is een vakgebied op zich. En bovendien is het een breed vakgebied. Uitvoerige kennis van en ervaring met governance, risicomanagement, beveiligingsprogramma’s in IT, HR en gebouwbescherming, en incidentbeheer is noodzakelijk voor een gedegen en adequate bescherming van de belangrijke informatie.

Start pas met het ontwerp en invoering van het raamwerk wanneer alle nodige kennis aan boord is. Stel eerst vast welke kennis nodig is en wat je organisatie daarvan al in huis heeft. Ontbreekt er bepaalde kennis, dan kan training of scholing helpen dat kennisgat te dichten. Of je kunt, al dan niet tijdelijk, een expert inhuren of in dienst nemen.

Daarnaast is goede training van álle betrokken medewerkers belangrijk. Als medewerkers niet de voordelen van informatiebeveiliging voor de organisatie zien, maar enkel de negatieve gevolgen voor hun eigen werk, kunnen zij zich verzetten tegen het extra werk. Of ze zoeken naar manieren om ‘eromheen te werken’. Ook voor de training van je collega’s geeft een beveiligingsraamwerk handvatten.

Aantonen dat je organisatie informatiebeveiliging serieus neemt

Een mooi voordeel van het toepassen van een standaard beveiligingsraamwerk is dat het anderen een goed beeld geeft van hoe je organisatie met informatiebeveiliging omgaat. Dat staat immers beschreven in de specificatie van de standaard, die algemeen beschikbaar is.

Als je een gerenommeerd raamwerk zoals bijvoorbeeld ISO 27001 gebruikt, dan is dat een goede indicatie voor (mogelijke) klanten, partners en toezichthouders dat jouw organisatie informatiebeveiliging serieus neemt. Dat geeft vertrouwen, zeker als je het kunt ondersteunen met een certificering.

Geen garanties

Tot slot geven we nog een disclaimer bij het gebruik van beveiligingsraamwerken. Een raamwerk geeft goede handvatten om beveiligingsrisico’s te beheersen. Het biedt echter geen zekerheid dat beveiligingsincidenten niet meer kunnen plaatsvinden.

Informatiebeveiliging is een voortdurende inspanning, waarbij je moet inspelen en reageren op actuele ontwikkelingen die een bedreiging kunnen vormen. Misschien moet je beleidsmatige of technische wijzigingen doen om je aan de nieuwe situatie aan te passen. Je informatiebeveiliging is in die zin nooit ‘af’ en vereist voordurende aandacht.

Benieuwd hoe uw organisatie een beveiligingsraamwerk kan implementeren? INTERMEDIATE kan helpen. Met onze uitgebreide kennis kunnen we de juiste professional vinden om uw organisatie te adviseren en ondersteunen. Geïnteresseerd? Neem contact met ons op: intermediate.pro/contact

Deze blog is geschreven door Teun Tonino.