U bent hier

Onderneming & Administratie
Bedrijfscontinuïteit5. Wat ondernemingen altijd vergeten...5.5 Informatiebeveiliging
Voor Onderneming & Administratie

5.5 Informatiebeveiliging

Dit artikel is eerder verschenen als Themadossier FA Rendement
Publicatiedatum: juni 2021

incidenten

Bedrijfscontinuïteit is dus belangrijk. Overheid, toezichthouders en grote afnemers eisen van ondernemingen dat ze hun bedrijfscontinuïteit garanderen. Allerlei mogelijke incidenten worden opgevoerd en zodanig aangezet dat het een wonder is dat uw onderneming nog bestaat.

Niet alle scenario’s zijn even relevant

Stel dat een onderneming, met een fysieke kantoorlocatie in Nederland en in de Verenigde Staten, in haar bedrijfscontinuïteitsplan een scenario heeft omschreven over extreme weersomstandigheden. Het voorbereiden op tornado’s, extreme droogte, bosbranden en mogelijke overstromingen zal in dit geval minder relevant zijn voor de locatie in Nederland dan voor de locatie in de Verenigde Staten.

5.5.1 Documentatieniveaus

daadwerkelijke risico’s

beleidslijnen

procedure

Uw onderneming moet bedrijfscontinuïteit niet benaderen vanuit de bedreigingen die mogelijke incidenten opleveren, maar vanuit de daadwerkelijke risico’s. Hoe beoordeelt u deze daadwerkelijke risico’s? Dit kan door het implementeren van een informatiebeveiligingsstandaard of een zogenoemd informatiebeveiligingsmanagementsysteem (information security management system (ISMS)). Dit zijn schriftelijk vastgelegde beleidslijnen, procedures en processen. Ondernemingen moeten alle drie de documentatie­niveaus bijhouden om hun omgeving te helpen beveiligen:

  • Beleidslijnen over informatiebeveiliging zijn verklaringen of regels op hoog niveau over de bescherming van mensen of systemen.
  • Een ‘procedure’ is een voorschrift op laag niveau voor de verschillende manieren waarop een onderneming het gegeven beleid zal handhaven.
  • Een ‘proces’ kan een stap-voor-stapmethode beschrijven om verschillende normen te implementeren.

5.5.2 Dataclassificatie

beschikbaar en toegankelijk

beheer

Door middel van een classificatie van de risico’s bepaalt uw onderneming de beheersmaatregelen. Drie belangrijke termen in het kader van dataclassificatie zijn: beschikbaarheid, integriteit en vertrouwelijkheid. Deze indeling staat centraal in informatiebeveiliging en kent een specifieke toepassing voor dataclassificatie:

  • Beschikbaarheid: informatie moet beschikbaar en toegankelijk zijn. Classificatie gaat in op de mogelijke gevolgen als informatie of een informatieset niet beschikbaar is.
  • Integriteit: het in overeenstemming zijn van informatie met de werkelijkheid (informatie is juist, volledig en actueel). Goed beheer van bevoegdheden en mogelijkheden tot muteren, toevoegen, of vernietigen van gegevens voor gerechtigden is cruciaal voor de integriteit van informatie. Classificatie gaat in op de mogelijke gevolgen als informatie onjuist, onvolledig of niet actueel is.
  • Vertrouwelijkheid: de bevoegdheden en mogelijkheden om kennis te nemen van informatie door gerechtigden. Classificatie gaat in op de mogelijke gevolgen als informatie in handen komt van derden die niet zijn geautoriseerd.

Beveiligingsniveau

alle processen

datagedreven werken

Uit deze classificatie komt het basisbeveiligingsniveau dat geldt voor het specifieke proces of middel. Het basisbeveiligingsniveau geldt voor alle processen. Sommige processen kunt u door de wet- en regelgeving anders classificeren. Voor die processen definieert u aanvullende maatregelen. Door data te classificeren op basis van beschikbaarheid, integriteit en vertrouwelijkheid (BIV), brengt u in kaart welke data in uw onderneming aanwezig zijn en welke waarde deze hebben. Als uw onderneming data niet classificeert, kunt u minder makkelijk datagedreven werken en is het vaststellen van de impact van datalekken of beveiligingsincidenten een tijdrovende uitdaging. Het classificeren van data draagt bovendien bij aan het voldoen aan bepaalde wet- en regelgeving.

5.5.3 De rol van data

essentieel

belangrijk

impact laag

Zijn de data essentieel voor uw primaire bedrijfsprocessen of ondersteunen het bijvoorbeeld uw onderneming?

  • Bedrijfskritische data zijn essentieel voor de bedrijfsvoering. Als deze data verloren gaan of (tijdelijk) niet beschikbaar zijn, is de impact hoog tot zeer hoog. Dit heeft gevolgen voor de bedrijfscontinuïteit van uw onderneming. Een voorbeeld van bedrijfskritische data zijn productdata.
  • Data met een hoge prioriteit zijn belangrijk voor uw onderneming. De impact van het (tijdelijk) niet beschikbaar zijn van deze data is gemiddeld tot hoog. Hierbij gaat het bijvoorbeeld om de gegevens over de liquiditeitspositie van uw onderneming en data over arbeidsconflicten.
  • Gegevens die de bedrijfsvoering ondersteunen. De impact van het (tijdelijk) niet beschikbaar zijn van deze gegevens is laag tot gemiddeld. Een voorbeeld van ondersteunende data is de productinformatie van uw IT-systemen.

5.5.4 Taak en verantwoordelijkheid

in één plan verwerken

Maar wiens taak is het eigenlijk binnen een onderneming om de bedrijfscontinuïteit op te starten? De Chief Information Security Officer (CISO), het management of iemand anders? Vroeger had bedrijfscontinuïteit nog niet veel te maken met informatiebeveiliging en digitalisering. Tegenwoordig wel en daarom worden alle potentiële incidenten die kunnen plaatsvinden binnen een onderneming in één plan verwerkt. Hierin is meestal opgenomen dat u het overgrote deel van de incidenten bij de CISO moet melden. De informatieveiligheid kan immers niet alleen bij digitale calamiteiten in gevaar komen, maar ook bij incidenten zoals een brand of overstroming. Bedrijfscontinuïteit is echter ook een strategische aangelegenheid, waarbij het noodzakelijk is dat het management de strategische keuzes maakt.

Aandachtsgebieden voor uw informatiebeveiliging

beheren van risico’s

Informatiebeveiliging en bedrijfscontinuïteit gaan over het beheren van risico’s en het nemen van voldoende beheersmaatregelen door uw onderneming om de beveiliging te garanderen. Informatiebeveiliging is een brede term en gaat over technische maatregelen, zoals patches, het ontwikkelen van software, toegangsbeheer, fysieke beveiliging en testmanagement. Hieronder vallen ook de meer organisatorische zaken van uw onderneming zoals het leveranciersmanagement, kennisbeheer en kwaliteitsbeheer.