ISO27001, nu wordt het even technisch:

Volgens de nieuwe informatiebeveiliging standaard ISO27001:2013 moeten informatiebeveiligingsmaatregelen door het management afgestemd worden op de data risico's van de organisatie. Logisch, want een bloemist heeft nu eenmaal andere data in beheer dan een bank of een kerncentrale. Organisaties hebben verschillende datarisico's en daarom ook een andere set aan beveiligingsmaatregelen. In de richtlijn ISO27002 staan de mogelijke maatregelen die u als organisatie allemaal kunt nemen. In de zorgsector geldt ook een informatiebeveiligingsstandaard: NEN7510:2013. Deze norm is inmiddels gelijk getrokken met ISO27001:2013 plus een handvol verplichte extra maatregelen als het om patiëntinformatie gaat. Let op voor hosting bedrijven die voldoen aan ISO27001-standaard; de scope van deze certificaten is vaak beperkt tot alleen de processen rond de fysieke beveiliging van de ISO27001.

Missing Link

Bedrijven doen wel van alles aan beveiliging, maar de samenhang is vaak zoek. Een beveiligingsmaatregel om USB-poort af te sluiten op de bedrijfslaptop is weinig effectief als je vervolgens via Dropbox, Gmail en Wetransfer de data thuis op een USB zet. Er is zoveel data, dat bedrijven door de bomen het bos niet meer zien wat ze moeten beschermen. Om dit voor bedrijven te vereenvoudigen is Data Risico Managenent bedacht. Dit is de “missing link” die bedrijven met veel data nodig hebben om maatregelen in balans te krijgen met een acceptabel bedrijfsrisico.

Mission Critical Applications

Omdat we het tegenwoordig hebben over 'big data', is een individueel document op een USB-stick als een speld in een hooiberg. Daarnaast neemt het risico exponentieel toe zodra informatie verzameld is in een applicatie of database. Een kopie van de database met alle patinten, klanten en/of medewerkers is nu eenmaal schadelijker dan n los document. Focus uw data risico analyse daarom op de data van uw Mission Critical Applications; de bedrijfsapplicaties die schadelijk zijn voor de bedrijfsvoering als de data in verkeerde handen komt en/of dagenlang niet beschikbaar is. Let op dat de data van deze systemen ook opgeslagen zijn in uw back-up, datawarehouse en/of test-omgeving.

Data Risico Analyse

Elke Mission Critical Application kent dus n of meerdere databronnen waar alle data in zit. Databronnen hebben een fysieke locatie en/of ipadres. Tevens kunnen de beveilgingsmaatregelen van een databron verschillend zijn. Een hacker gebruikt nu eenmaal liever de achterdeur op een test systeem, dan dat hij door de voordeur naar binnen komt waar alle camera's op hem zijn gericht.
De kans dat een systeem gehackt wordt, hangt samen met de de set aan samenhangende beveiliging maatregelen. Elke maatregel die u niet of deels neemt, levert een scenario waarop het mis kan gaan. Moet u dan alle maatregelen nemen? Nee, het is gewoon je gezond verstand gebruiken en nooit een dubbeltje met een kwartje verzekeren.
De impact is gekoppeld aan een schadebedrag per record en afhankelijk van de reputatie. Zolang u uit het nieuws blijft en een lokale reputatie hebt, is het schade bedrag beperkt. De schade van een lokale speler is veel kleiner dan wanneer u een wereldwijde reputatie hebt.

Opgelost

Als ik data risico analyse toepas, is mijn data dan wel veilig? Het antwoord laat zich raden. Het gaat erom de datagroei en datarisico's worden beteugeld door een continue proces van het bedenken en implementeren van passende informatiebeveiligingsmaatregelen.