Grip op informatiebeveiliging: Deel 1

Weblogbericht | 07-08-2019 | NCSC

In deze serie van drie blogs geef ik mijn kijk op hoe informatiebeveiliging op een efficiënte manier benaderd kan worden en hoe je dit onderwerp op de juiste wijze met de directie kan bespreken. In deze serie beschrijf ik de volgende onderwerpen:

1. Informatiemanagement als noodzakelijke basis voor informatiebeveiliging.
2. Het spel van vraag en aanbod rondom informatieverwerking.
3. Het juiste gesprek met directieleden en afdelingsmanagers.

Informatiemanagement als noodzakelijke basis voor informatiebeveiliging

Het vinden van een goede aanpak voor informatiebeveiliging is niet altijd eenvoudig. De digitale wereld is complex en daarin je weg vinden vraagt kennis en ervaring. Om informatiebeveiliging en hoe je dat kunt inbedden in een organisatie beter te kunnen begrijpen gaan we eerst terug naar de basis. We laten het woord beveiliging in informatiebeveiliging voor nu even weg en we gaan kijken naar waar het om draait: informatie.

Voor alles geldt dat als je er grip op wilt krijgen, je er eerst zicht op moet hebben. Zo hebben we voor de financiën de boekhouding, voor het personeel het personeelsbestand, voor de productie de productieplanning, enzovoorts. Voor deze zaken hebben we ook meestal een manager. Een CFO - welke zelfs in de directie zit, want geld vinden we heel belangrijk - een P&O-manager, hoofd productie, hoofd bedrijfsvoering, etc. En deze managers zijn er, omdat de bedrijfsmiddelen waarvoor zij verantwoordelijk zijn, belangrijk zijn voor de organisatie. Want stel dat de helft van het geld weg is. Of de helft van je personeel ziek is of er vandoor gaat? Of de helft van je voorraden is weg of de helft van je productiestraat ligt eruit. Dan heb je als organisatie een serieus probleem.

Maar hoe zit dat met informatie? Wat als de helft van je fileserver weg is, de helft van al je e-mails, je klantenbestand, je boekhouding? Heb je dan óók niet een groot probleem? Vraag nu jezelf af: wie beheert in mijn organisatie al die informatie? En heeft je organisatie eigenlijk wel voldoende zicht op alle bedrijfsinformatie, net zoveel als op financiën en personeel?

En nu je toch bezig bent met jezelf vragen te stellen over informatie, waar bevindt die informatie zich precies? Wie is verantwoordelijk voor die informatie? Wie heeft toegang tot die informatie? Met welke andere systemen wordt deze informatie uitgewisseld, hoe gebeurt dat dan en hoe vaak? Als de antwoorden op al deze vragen niet eenvoudig te geven zijn, hoe zeker kun je er dan van zijn dat deze informatie goed beveiligd is?

Eerst op papier, nu alles digitaal

Vroeger bestond informatie vooral in papieren vorm. Het beheer was relatief eenvoudig, want vanwege de fysieke vorm hielden we de hoeveelheid beperkt en was het voor iedereen te begrijpen. In deze digitale wereld is het een totaal ander verhaal. Er is praktisch geen beperking in de hoeveelheid die we kunnen verwerken. Informatie weggooien doen we dan ook weinig. Daarnaast is door de mogelijkheid om verschillende informatie aan elkaar te koppelen, de complexiteit ervan enorm toegenomen. Echter, de mate waarin informatie in hoeveelheid en complexiteit is gegroeid, staat niet in verhouding tot de mate waarin we die informatie zijn gaan beheren.

Een vergelijkbare situatie geldt ook voor de beveiliging van informatie. In het papieren tijdperk was beveiliging van informatie voor iedereen te begrijpen. Een stapel papier aan het eind van de dag op de hoek van een bureau: niet veilig. Diezelfde stapel netjes opgeborgen in een afgesloten, stevige kast: wel veilig.

In de digitale wereld is ook dit een heel ander verhaal. Binnen de ICT is er een aparte specialisatie nodig om de beveiliging van informatie goed te kunnen begrijpen. Ook hier geldt dat de mate waarin de complexiteit van informatiebeveiliging is gegroeid, niet in verhouding staat tot de mate waarin we er aandacht voor hebben.

Hoe krijg ik grip op informatie?

Hoewel de digitale middelen ons veel goeds hebben gebracht, heeft het er ook voor gezorgd dat we het zicht en de grip op informatie kwijt zijn geraakt. De beveiliging van deze informatie wordt hierdoor extra moeilijk gemaakt. Zicht en grip op de beveiliging van informatie vereisen namelijk zicht en grip op de informatie zelf.

Begin daarom met het maken van een overzicht van alle belangrijke informatie in uw organisatie. Geef in dat overzicht aan waar deze informatie ligt opgeslagen, met welke andere systemen deze informatie wordt uitgewisseld en wie gebruik maakt van deze informatie. Gebruik dat overzicht als basis voor een periodiek overleg tussen de informatiemanager, de ICT-manager, de information security officer en de privacy officer. Grote kans dat zo’n overzicht alleen al genoeg vragen en inzichten oplevert.

In de volgende blog ga ik in op noodzakelijke afstemming tussen informatiemanagement en ICT-beheer.

Hugo Leisink