Informatiebeveiliging

Uit IBpedia

Informatiebeveiliging is het geheel van preventieve, repressieve en herstelmaatregelen alsmede procedures en processen welke de beschikbaarheid, exclusiviteit en integriteit van alle vormen van informatie garanderen met als doel de continuïteit van de informatie en de informatievoorziening. te waarborgen en de eventuele gevolgen van beveiligingsincidenten tot een acceptabel, vooraf bepaald, niveau te beperken.

Men doet dit door het treffen van de noodzakelijke organisatorische, procedurele en technische maatregelen welke gebaseerd zijn op een ( organisatie afhankelijke) risicoanalyse of een wettelijk verplichting. Te denken valt aan de Wet bescherming persoonsgegevens (WBP), de Telecommunicatiewet en ander vigerende Nederlandse wetgeving. Ten aanzien van beursgenoteerde ondernemingen in de Verenigde Staten van Amerika moet worden gedacht aan de Sarbanes-Oxley wetgeving(SOX). Voor privacybescherming in de Amerikaanse gezondheidssector is bijvoorbeeld de Health Insurance Portability and Accountability Act (HIPAA) maatgevend.

Op basis van een risicoanalyse wordt het gewenste niveau van beveiliging te bepaald. Daarbij wordt in de regel een BIV-klasse beschikbaarheid, integriteit en vertrouwelijkheid bepaald, vaak uitgebreid met een indicatie voor controleerbaarheid (het belang om achteraf toegang en transacties te kunnen verifiëren). De Engelse term die wordt gehanteerd is de CIA Triad: confidentiality, integrity en availability.

Beschikbaarheid bevat de garanties voor het afgesproken niveau van dienstverlening gericht op de beschikbaarheid van de dienst op de afgesproken momenten (bedrijfsduur, waarbij rekening wordt gehouden met uitvalstijden, storingen en incidenten). Integriteit is het kwaliteitsbegrip dat Juistheid, Volledigheid, Tijdigheid en Geautoriseerdheid van de transacties omvat. Vertrouwelijkheid is het kwaliteitsbegrip waaronder privacybescherming maar ook de exclusiviteit van informatie gevangen kan worden. Het waarborgt dat alleen geautoriseerden toegang krijgen en dat informatie niet kan uitlekken.

Informatiebeveiliging is een onderwerp dat goed verankerd moet zijn in het topmanagement van de organisatie en is deels gebaseerd op het creëren van draagvlak bij gebruikers. Een bewustwordingsprogramma moet de invoering van de beveiligingsmaatregelen ondersteunen.

Het realiseren van het overeengekomen niveau van beveiliging is een taak die in de regel wordt toebedeeld aan een informatiebeveiliger, iemand die zich beroepshalve met het vakgebied bezighoudt. Toezicht vindt plaats vanuit de IT-audit discipline en vanwege diverse wettelijke toezichthouders. Door middel van het uitvoeren van IT en privacy audits kan worden vastgesteld of het overeengekomen niveau van beveiliging is gerealiseerd. Ook kan een organisatie worden gecertificeerd op basis van de Code voor Informatiebeveiliging, de Nederlandse versie van de BS 7799-2.

Informatiebeveiliging is primair een organisatorisch vraagstuk. De meningen over de percentuele verdeling tussen organisatorische en technische maatregelen varieert, maar in alle gevallen ligt het zwaartepunt bij de organisatorische maatregelen. Als de mensen niet willen of kunnen dan kan (informatie)beveiliging niet sluitend geregeld worden. Een pasjessysteem heeft pas effect als de pasjes zichtbaar gedragen worden. Mensen kunnen er op worden aangesproken als ze geen pasje dragen en mensen die geen pasje hebben kunnen tijdig worden onderschept. Dit vraagt wel een bepaalde instelling bij de medewerkers, die ze moeten aanleren. Een maatregel met sterke wachtwoorden (minimaal 8 tekens, waarvan minimaal één hoofdletter en een cijfer) is pas succesvol als de wachtwoorden regelmatig worden gewijzigd, niet meer worden opgeschreven en niet aan anderen ter beschikking worden gesteld. Dit vraagt controle en weer een bepaalde, aan te leren instelling bij de medewerkers. Vaak wordt informatiebeveiliging als apart traject bezien in de organisatie en uitgevoerd door externe deskundigen. Hierdoor komt meestal een goed doorwrocht resultaat ter tafel. De maatregelen zijn de juiste en het niveau waarop ze moeten worden uitgevoerd is ook correct. Toch blijft het vaak bij een ‘papieren tijger’. Ook als er wel opvolging plaats vindt en de maatregelen worden ingevoerd blijkt vaak dat de mensen het beschouwen als iets dat niet van hun is en ze gaan er dan ook dienovereenkomstig mee om. Beveiligingsbewustzijn bij de medewerkers is de sleutel. Als medewerkers beveiligingsmaatregelen begrijpen en onderschrijven dan zijn ze succesvol. De technische ondersteuning wordt dan als aanvullend onderkend en aanvaard.

Gerelateerde IBpedia artikelen

Nederlandstalig:

• Basiskennis - Inleiding tot de beveiliging van informatie
• Basiskennis - Informatie, bedrijfsdoelstellingen en kwaliteitseisen

Engelstalig:

• Introduction to information security
• The checklist page for information security

Externe links

Nederlandstalig:

• Startpagina voor computerbeveiliging
• Hyperlinks naar organisaties en literatuur op het gebied van informatiebeveiliging
• Artikelen over informatiebeveiliging in Wikipedia

Engelstalig:

• Articles about computer security