Informatiebeveiliging als business enabler

In een wereld waarin alles en iedereen met elkaar in verbinding staat, groeit het besef dat het beveiligen van gegevens essentieel is. Snelle, door technologie gedreven, ontwikkelingen als consumerization of IT, mobiele devices, the Internet of Things en cloud computing vragen om gerichte aandacht voor de bescherming van informatie. Daarnaast zorgen de beveiligingsincidenten van de afgelopen jaren ervoor dat het onderwerp zich bij veel organisaties aandient. De behoefte aan een gedegen beleid en bewustzijn rondom het beveiligen van gegevens wordt bovendien gesterkt door toenemende wet- en regelgeving. In dit artikel schetst Centric security-expert Gerard Stroeve zijn visie op informatiebeveiliging en de waardevolle rol die security kan vervullen binnen organisaties.

Gerard Stroeve

Niet alleen op technologisch, maar ook op sociaal niveau lijkt de waardebeleving rond informatie te veranderen. Door het gemak en de snelheid waarmee we in ons dagelijks leven gegevens met elkaar kunnen uitwisselen, realiseren we ons niet altijd waar en onder welke voorwaarden we onze informatie opslaan en wie er toegang toe heeft. Kleine lettertjes van gratis clouddiensten worden niet door iedereen gelezen. Deze IT-gemakken zien we echter ook steeds vaker terug in het bedrijfsleven. Het eens zo stevige IT-fort kan zich niet in hetzelfde tempo weren tegen de toenemende dreigingen. In deze nieuwe, open wereld moet er daarom meer expliciete aandacht komen voor informatiebeveiliging.

Breder dan IT

Het bewustzijn neemt toe dat de nieuwe technologieën niet altijd in lijn zijn met hoe veilig wij onze gegevens willen opslaan. Hierin is een tweetal nuances belangrijk. In de eerste plaats moeten we beseffen dat, hoewel het bewustzijn groeit, de noodzaak omtrent informatiebeveiliging zelf in de basis niet is veranderd. Tien of zelfs honderd jaar geleden gold al: we zijn zelf verantwoordelijk voor het waarborgen van informatie, in alle vormen. Dat is ook meteen de tweede kanttekening die we plaatsen bij dit onderwerp: hoewel de aandacht voor security vooral het gevolg is van de snelle, IT-gerelateerde ontwikkelingen, is informatiebeveiliging op zichzelf veel breder dan IT. Een succesvolle informatiebeveiligingsstrategie omvat alle vormen van informatie. Van de digitale gegevens op servers, apparaten en andere dragers tot de analoge informatie in boeken en papieren en de specifieke kennis in de hoofden van individuele medewerkers.

Volwassenheid

Het resultaat van de verhoogde aandacht voor informatiebeveiliging is dat organisaties gedwongen worden kritischer naar hun eigen informatiebeveiligingsstrategie te kijken. De meeste organisaties zijn onbewust al wel actief op het vlak van security, maar vaak ontbreekt een beleid dat richting geeft aan het besluitvormingsproces. Veel organisaties zullen de volgende stap naar volwassenheid moeten zetten en een doordachte en praktisch toepasbare strategie voor informatiebeveiliging moeten ontwikkelen en uitdragen.

Risicomanagement

De kracht van een goede informatiebeveiliging is dat zij aansluit bij het karakter en de waarde van de gegevens, in relatie tot de risico’s. Passende informatiebeveiliging doet nooit te weinig, maar ook niet te veel. De organisatiedoelstellingen komen immers op de eerste plaats; de balans tussen risicomanagement en kostenefficiëntie is daarin essentieel. Om tot een passende strategie te komen, zal de organisatie eerst uit moeten zoomen en zich de vraag stellen: “Waar willen we naartoe?”. Op basis van die vraag een duidelijke beleidsnotitie schrijven, werkt vaak al bijzonder verhelderend. Aan de hand van ‘het grotere plaatje’ wordt het risicobeheersproces dat volgt een stuk gestructureerder.

De beveiligingseisen van de informatie waarmee gewerkt wordt, vormen binnen dat beveiligingsproces de basis voor de keuzes die gemaakt worden. Typisch vallen die eisen in de categorieën vertrouwelijkheid, integriteit en beschikbaarheid. Daarnaast is een risicoanalyse een belangrijk onderdeel van het informatiebeveiligingsproces. Met behulp van die analyse wordt niet alleen vastgesteld welke dreigingen er bestaan, maar ook wat de gevolgen zijn als die dreigingen werkelijkheid worden. Gezamenlijk leggen het beveiligingsbeleid, de beveiligingseisen en de risicoanalyse het fundament voor een passende informatiebeveiligingsstrategie. Idealiter gebeurt dit vanuit een integrale benadering met aandacht voor het hele speelveld van informatiebeveiliging. Dit speelveld wordt beschreven in de Beveiligingskubus (zie kader).

Business enabler

Gebruikers en het management zagen informatiebeveiliging vroeger wellicht als tijdrovend of vertragend op de processen. Tegenwoordig wordt echter steeds beter duidelijk dat informatiebeveiliging organisaties toegevoegde waarde biedt. Security is de noodzakelijke voorwaarde om nieuwe technologieën in te kunnen zetten. Neem bijvoorbeeld mobility en thuiswerkfaciliteiten; het zijn voorbeelden van voorzieningen die de productiviteit, creativiteit en flexibiliteit van organisaties en hun medewerkers flink kunnen bevorderen. Door de juiste beveiligingsvoorzieningen te treffen, kunnen ze veilig worden ingezet en groeit het vertrouwen in het gebruik ervan.

Bovendien biedt een helder informatiebeveiligingsbeleid medewerkers een houvast in hun dagelijkse werkzaamheden. Duidelijke afspraken over hoe er op kantoor wordt omgegaan met (gevoelige) informatie, zowel digitaal als analoog als in kennisvorm, geeft medewerkers een gevoel van structuur en laat zien dat veiligheid belangrijk wordt gevonden. Voor de beeldvorming naar buiten is een strategie op informatiebeveiliging eveneens van toegevoegde waarde, omdat het zorgt voor een betrouwbaar imago. Sterker nog, omdat ook wij als consumenten bewuster worden van de noodzaak van informatiebeveiliging, verwachten we van onze ‘leveranciers’ een proactieve en professionele houding ten aanzien van het onderwerp.

Continue aandacht

Ook als de strategie is bepaald en het proces is ingericht, dan blijft informatiebeveiliging uw continue aandacht vragen. De wereld staat namelijk geen moment stil en roept steeds weer nieuwe vragen op. Bijvoorbeeld: hoe gaat u om met de beveiliging van data op mobiele devices en welke eisen stelt u aan de opslag van gegevens in de cloud? Jarenlang heeft de IT-afdeling er zorgvuldig voor gezorgd dat informatie veilig binnen de muren van uw organisatie bleef, maar dat is tegenwoordig niet zo eenvoudig meer.

Niet alleen nieuwe technologische ontwikkelingen vragen uw aandacht, maar ook de steeds verder aangescherpte wet- en regelgeving. In Europa wordt de Europese Privacy Verordening voorbereid, die grote impact heeft op de wijze waarop u privacygevoelige gegevens dient te behandelen en te bewaren. Dan hebben we nog niet gesproken over de enorme creativiteit van cybercriminelen, die met onder meer DDoS-aanvallen organisaties weten plat te leggen. Met andere woorden, informatiebeveiliging is een continu proces. Door het goed in te richten en er voldoende aandacht aan te schenken, wordt informatiebeveiliging daadwerkelijk een business enabler voor uw organisatie en bent u klaar voor (toekomstige) dreigingen.

De Beveiligingskubus

Informatiebeveiliging is voor velen een complexe puzzel die bovendien heel mooi in de vorm van een van de meeste complexe puzzels, de Rubiks kubus, is weer te geven. Daarvoor plaatsten we op elk van de kubusassen één dimensie van informatiebeveiliging.

De vorm

Steeds meer informatie is tegenwoordig digitaal. Toch is veel informatie ook nog op andere wijze beschikbaar. Op de zijden van de eerste as projecteren we de diverse vormen van de informatie: digitaal, analoog en kennis.

De kernaspecten

Op de zijden van de tweede as zetten we de kernaspecten van informatiebeveiliging: vertrouwelijkheid, integriteit en beschikbaarheid (VIB).

De beheersmaatregelen

De VIB-kernaspecten van uw informatiestromen bepalen mede welke beheersmaatregelen u moet treffen. Die maatregelen plaatsen we op de zijden van de derde as. Deze vallen typisch binnen drie categorieën: techniek, mens en organisatie.

Met het invullen van deze drie dimensies van informatiebeveiliging is een complete beveiligingskubus gevormd. Deze beslaat in feite het hele speelveld van informatiebeveiliging voor elke afzonderlijke informatiestroom - een speelveld met 27 unieke aandachtsgebieden. Elk blokje vertegenwoordigt een combinatie van vorm, aspect en maatregel en speelt zijn eigen rol in het informatiebeveiligingslandschap. Om de puzzel op te lossen, moeten ze allemaal op de juiste plek zitten.

Dat vraagt om een integrale aanpak. Door van tevoren al uw informatiestromen te bestuderen en te classificeren, legt u de basis voor een succesvolle informatiebeveiligingsstrategie. Een strategie die rekening houdt met de verschillende behoeften van alle vormen van informatie en daaraan de juiste maatregelen koppelt. Alleen als u alle puzzelstukjes de aandacht geeft die zij verdienen, kunt u de puzzel als geheel oplossen.

Gerard Stroeve is Manager Security & Continuity Services bij Centric