Het internet is meer aanwezig dan ooit. Vrijwel iedere organisatie maakt wel gebruik van een e-mailclient, website en andere online hulpmiddelen zoals een CRM-systeem. Dit betekent dat een grote hoeveelheid informatie digitaal en online wordt opgeslagen en uitgewisseld. Deze (gevoelige) informatie dient veilig te zijn opgeslagen. Dit kan alleen door strikte informatiebeveiliging.

Het goed uitvoeren van strikte informatiebeveiliging omvat het toepassen van een groot aantal maatregelen om de hoeveelheid risico’s en dreigingen van buitenaf te verkleinen.

Het is voor bedrijven onvoldoende om enkel te weten dat zij aan informatiebeveiliging moeten doen, zij dienen handvatten ter beschikking te hebben die hen helpen bij de uitvoering van bedrijfsprocessen, interne bedrijfsvoering en het nemen van strategische beslissingen.

De drie basisprincipes van informatiebeveiliging

In de loop der tijd zijn er steeds meer betrouwbaarheidseisen rondom informatiebeveiliging ontstaan. Zo zijn er onder andere drie basisprincipes van informatieveiligheid en wetgevingen (zoals de AVG) in het leven geroepen.

Om het beoogde niveau van uw informatiebeveiliging vast te kunnen stellen, zullen de betrouwbaarheidseisen waaraan moet worden voldaan worden geïdentificeerd. Over het algemeen wordt deze classificatie volgens de BIV-indeling gedaan, waarbij wordt gekeken naar de volgende drie aspecten:

  • Beschikbaarheid. Geautoriseerde gebruikers hebben op de juiste momenten toegang tot informatie en/of systemen.
  • Integriteit. Het waarborgen van de juistheid, tijdigheid (actualiteit) en volledigheid van informatie en de verwerking hiervan.
  • Vertrouwelijkheid. Het waarborgen van de toegankelijkheid van informatie voor enkel degene die hiertoe zijn geautoriseerd.
mockup-axxemble2-2

Waarom is informatiebeveiliging van belang?

Voor veel organisaties is informatiebeveiliging eerder een last dan een zegen. Werknemers hebben het gevoel beperkt te worden in de flexibiliteit van de uitvoer van hun werkzaamheden. Daarnaast besteedt de media ook veel aandacht aan privacybescherming en informatiebeveiliging, waardoor er in sommige situaties zelfs aversie tegen het onderwerp ontstaat. 
Toch is strikte informatiebeveiliging hard nodig. In de afgelopen jaren heeft ruim vier op de tien ondernemingen te maken gehad met cybercrime. Het werkelijke aantal getroffen organisaties ligt waarschijnlijk veel hoger, omdat bijna 10 procent van de organisaties geen idee heeft of er überhaupt een datalek binnen de organisatie heeft plaatsgevonden.

Wat is informatiebeveiliging precies?

Informatiebeveiliging is simpel gezegd: het in kaart brengen en beoordelen van alle processen rondom informatie binnen een organisatie. Dit wordt vaak gedaan door middel van een Information Security Management System (ISMS). Hiermee worden, onder andere, processen vastgesteld en regelmatig gecontroleerd op potentiële risico’s of dreigingen.

Wat is het doel van informatiebeveiliging?

Het doel van informatiebeveiliging is dat gevoelige gegevens niet in de verkeerde handen terecht komen. Door middel van een adequate informatiebeveiliging worden dreigingen en risico’s veelal op tijd herkend en hierdoor voorkomen. Dit voorkomt nadelige gevolgen voor u en uw klanten.

Consequenties slechte informatiebeveiliging

Slechte informatiebeveiliging kan grote gevolgen hebben voor organisaties. Niet alleen op financieel gebied, maar ook als het gaat om klantgegevens, vertrouwen van klanten in de organisatie en soms kan een bedrijf zelfs tijdelijk stilvallen. Doordat het besef van de mogelijke consequenties groter wordt, begint informatiebeveiliging een steeds belangrijkere rol te spelen binnen organisaties. 

  • Informatiebeveiliging en ISO27001

Als organisatie zijn er diverse mogelijkheden om aan informatiebeveiliging te doen. Van sommige organisaties wordt verwacht dat zij aan een bepaalde norm voldoen. Hiervoor is de ISO 27001 ontstaan. Deze norm geeft richtlijnen rondom informatiebeveiliging binnen de organisatie. Indien hieraan wordt voldaan, zal de organisatie een certificaat ontvangen.

Lees hier meer over de ISO 27001

  • Informatiebeveiliging en NEN7510

Voor organisaties binnen de zorg gelden andere regels. Deze organisaties zijn verplicht om strikte informatiebeveiliging te hanteren. Dit tonen zij aan met een NEN 7510 certificering. 

Lees hier meer over de NEN 7510

Dreigingen in perspectief

Bij maar liefst 70% van alle incidenten rondom informatiebeveiliging blijkt het handelen van eigen personeel onderdeel van de oorzaak te zijn. Denk hierbij aan het verlies van een laptop of telefoon, het klikken op een link vanuit een spam e-mail of het versturen van gevoelige informatie aan de verkeerde persoon. 

Natuurlijk is er ook op technisch vlak een belangrijk risico waarbij maatregelen van vandaag onvoldoende kunnen zijn voor de dreigingen van morgen. 

Zeker voor kleinere organisaties is het lastig om in deze dynamiek een passend antwoord te hebben. De uitdaging schrikt af en maakt onzeker over wat nodig is en hoe dit te realiseren. De kennis hiervoor is vaak onvoldoende en ook tijd en kosten vormen een forse drempel.

De keuze weinig of niets doen ligt dan voor de hand en het risico op schade als gevolg van dergelijke incidenten dan maar te accepteren. Ondernemen is immers risico nemen. 

Toch behoeven kosten en tijd voor een adequaat niveau van beveiliging niet groot te zijn en kunnen zelfs een besparing vormen. Zet u de potentiële schade uit tegen de kosten van preventie, dan is er een duidelijk optimum.

Optimum-1

Het niveau van maatregelen en de kosten die u maakt, bent u als ondernemer gewend om af te wegen tegen de baten: besparingen bij eventuele incidenten. Die potentiële schade is voor elke organisatie anders en dat geldt ook voor het niveau van de te nemen maatregelen. Ter indicatie: voor MKB bedrijven geldt dat zij gemiddeld bijna €79.000 kwijt zijn per digitale inbraak.

Onze oplossing: Base27

Axxemble stelt zich als doel om organisaties in het midden- en kleinbedrijf op een slimme en praktische wijze te ondersteunen bij een adequate informatieveiligheid. Dat doen we door de eerder genoemde vragen centraal te stellen in onze oplossing, Base27.

Onze online software tooling biedt een raamwerk (ISMS) voor beleid en organisatie rondom informatiebeveiliging, risicobeheersing, beschrijving van processen en procedures en ondersteuning voor het voeren van de verschillende registraties. 

Met behulp van Base27 bent u in staat om snel de informatiebeveiliging rondom de gewenste norm op te zetten, inclusief ondersteuning voor de nieuwe privacywetgeving.