Uw data beschermen: zo legt u een goede basis met een framework

Traxion, portret, Waardenburg, 6 1 2016

Door Johan van Middelkoop, senior security consultant bij Traxion

Dat het belangrijk is om de privacy- en bedrijfsgevoelige informatie in uw bedrijf te beschermen, daar bent u zich wel van bewust. Maar hoe u dat precies aanpakt, is waarschijnlijk al een stuk minder duidelijk. De AVG geeft immers geen duidelijke richtlijnen voor het beveiligen van persoonsgegevens. En wat bedrijfsgevoelige informatie betreft kan het ook lastig zijn om te bepalen welke stappen u precies moet zetten.

Informatiebeveiliging begint daarom bij het opstellen van een framework, waarmee u overzicht creëert en inzichtelijk maakt welke stappen u precies moet zetten om uw datasecurity op orde te krijgen. Onderstaande tips helpen u bij het opstellen van zo’n framework.

Breng de gegevens in uw organisatie in kaart

Het beveiligen van data begint met inzicht in alle gegevens die in een organisatie aanwezig zijn. Denk aan persoonlijke informatie van klanten of medewerkers, maar ook aan andere gevoelige of vertrouwelijke informatie zoals nog niet openbaar gemaakte jaarrekeningen. Breng al deze data in kaart en rangschik deze vervolgens op volgorde van het risico dat elke soort data met zich meebrengt. Daarbij kunt u bijvoorbeeld denken aan een indeling van gegevens met een:

  • laag risico – denk aan persberichten of jaarrekeningen die al openbaar zijn gemaakt;
  • middelhoog risico – zoals NAW-gegevens die alleen intern beschikbaar zijn op een server die niet in verbinding staat met het internet;
  • hoog risico – bijvoorbeeld financiële bedrijfskritische gegevens of NAW-gegevens die gekoppeld zijn aan een online portal waar klanten zelf hun informatie kunnen wijzigen.

Wees verder kritisch ten opzichte van de gegevens die u in uw organisatie heeft opgeslagen, met name wat betreft persoonsgegevens. Heeft u al deze data echt nodig? Een van de redenen dat het goed is om uzelf deze vraag te stellen is omdat de AVG voorschrijft dat u persoonsgegevens alleen mag verwerken als het voldoet aan specifieke voorwaarden. Daarnaast geldt natuurlijk ook dat u gegevens die u niet heeft, ook niet hoeft te beveiligen.

Leg vast hoe u uw gegevens beschermt

Met een compleet beeld van de data in uw bedrijf kunt u bepalen of de geldende maatregelen nog wel afdoende zijn om te voorkomen dat gevoelige gegevens op straat komen te liggen. Voldoet de huidige beveiliging nog aan de beveiligingseisen van deze tijd? Hier komt ook de risicoclassificering goed van pas: staan de maatregelen nog in verhouding tot het risico dat data de organisatie opleveren?

Als het antwoord op bovenstaande vragen ontkennend is, is het zaak om in het framework concreet te maken hoe u gevoelige gegevens gaat beschermen. Welke maatregelen u precies moet nemen verschilt natuurlijk per situatie. Zo kunt u ervoor kiezen om NAW-gegevens in uw database op een interne server af te schermen met een wachtwoord. En als het gaat om data met een hoog bedrijfsrisico, zoals de eerdergenoemde gegevens, dan kunt u de beveiliging uitbreiden met bijvoorbeeld multi-factor authenticatie.

Weet u niet zeker welke maatregelen u moet nemen om uw informatie goed te beveiligen? Dan bieden richtlijnen zoals de ISO 27001 en ISO 27002 uitkomst. Deze richtlijnen vormen een veelgebruikte beveiligingsstandaard en beschrijven de maatregelen die u moet nemen om aan deze standaard te voldoen. Bijkomend voordeel is dat u na het voldoen aan de richtlijnen een ISO-certificering kunt behalen voor uw organisatie – waarmee u klanten en partners laat zien dat u veilig omgaat met hun gegevens.

Maak gebruik van een GRC-tool

U kunt zich voorstellen dat het in kaart brengen van risico’s en het bijhouden van de genomen stappen een behoorlijk tijdrovende klus is, en dat het een uitdaging wordt om de actuele statussen van maatregelen bij te houden. Het is daarom aan te raden om bij het invoeren van een framework gebruik te maken van een zogenaamde governance, risk and compliance tool (GRC-tool).

In een GRC-tool kunt u overzichtelijk bijhouden welke maatregelen er al geïmplementeerd zijn en welke stappen u nog moet nemen om tot de door u gewenste situatie te komen, zoals AVG- of ISO-compliance. Afhankelijk van de tool worden er overzichtelijke rapporten gegenereerd die op managementniveau inzicht geven in het risicoprofiel.

Wel is het goed om te realiseren dat er verschillende soorten GRC-tools zijn, en dat het afhankelijk is van uw specifieke situatie welke het best bij u past. Let bij het kiezen van een GRC-tool daarom op de volgende punten:

  • Wilt u de GRC-tool gebruiken als hulpmiddel om te voldoen aan de AVG? Wilt u een ISO-certificering behalen? Of wilt u voor uw organisatie alle risico’s in kaart brengen?
  • Zijn er veel of weinig mensen die met de tool moeten werken? Heeft u een complexe organisatie met veel verschillende processen, diensten en afdelingen?

Voorkom onwerkbare situaties

Vooral kleinere organisaties hebben nog weleens de neiging om bij het opstellen van een framework in al hun enthousiasme de diepte in te gaan en alle details vast te willen leggen. Zeker als het bedrijf gaat groeien leidt dit echter al snel tot onwerkbare situaties. Zorg er daarom voor dat u wel de noodzakelijke dingen vastlegt, maar daar niet te ver in doorslaat.

Overigens blijft informatiebeveiliging ook dan om een investering van uw organisatie vragen. En zeker als u uw organisatie AVG-proof wilt maken, of als u een ISO-certificering wilt behalen, is er sprake van een proces dat niet van de ene op de andere dag is afgerond. Maar juist daarom is een framework zo belangrijk. Met een goed opgesteld framework stroomlijnt u uw proces en zorgt u ervoor dat u op de lange termijn juist minder werk heeft aan uw beveiliging.