Bas Janssen, directeur van ondernemingsvereniging Deltalinqs, heeft onlangs in het AD aangegeven dat de haven veiliger moet worden gemaakt. Vergelijkbare berichtgeving kunnen we ook lezen in het recente artikel van Cyril Widdershoven in Europoort Kringen van september jl. Hij waarschuwt dat de Europese industriële infrastructuur doelwit is geworden van cyberterrorisme. Volgens een onderzoek van het internetbeveiligingsbedrijf Kaspersky Lab van dit jaar bleek van de 13.698 ICS hosts ruim negentig procent zwakke plekken te vertonen die op afstand kunnen worden misbruikt. [Hosting is een dienst waarbij particulieren of bedrijven ruimte aanbieden voor het opslaan van informatie, afbeeldingen, of andere inhoud die toegankelijk is via een website, red.]

Wat kunnen de bedrijven hiertegen doen?

De meest actuele vraag voor bedrijven is wanneer zij aan de beurt zijn. Het hoogste management van bedrijven moet per direct beleid maken voor informatiebeveiliging en ervoor zorgen dat de bedrijfsgegevens goed en veilig worden beheerd om continuïteit en bedrijfshygiëne te kunnen garanderen. Het beleid zal dan in de organisatie onderzocht moeten worden vanuit een ‘risk based’-benadering door het houden van risicoanalyses en het maken en doorvoeren van verbeterplannen. De organisatie van werkvloer tot directiekamer en vice versa moet worden bewust gemaakt van informatiebeveiliging. Dit moet worden geïntegreerd in de governance en periodiek worden getoetst. Het gaat hier om de opzet, het bestaan en de effectieve werking. Een ingericht information security management system (ISMS) kan de organisatiebesturing hierin ondersteunen.

Informatiebeveiliging moet voorkomen dat onze economisch kritische bedrijfsinformatie in vreemde handen komt of dat het land op deze wijze aan elektronisch terrorisme ten prooi valt. We moeten garanties bieden voor de betrouwbaarheid en de beschikbaarheid van onze kritische informatie. Met andere woorden: bedrijven en overheden zouden zich minimaal moeten certificeren op ISO27001.

Wat is ISO27001?

ISO27001 is een ISO-standaard voor informatiebeveiliging. In 2013 is een nieuwe versie uitgekomen en ook in het Nederlands vertaald. De structuur is volledig gewijzigd en komt nu overeen met de nieuw te verwachten ISO-9001, de ISO-14001, enzovoort. Deze internationale norm is van toepassing op alle typen organisaties. De norm specificeert eisen voor het vaststellen, implementeren, uitvoeren, controleren, beoordelen, bijhouden en verbeteren van een gedocumenteerd ISMS in het kader van de algemene bedrijfsrisico's voor de organisatie.

De norm specificeert eisen voor de implementatie van beveiligingsmaatregelen die zijn aangepast aan de behoeften van afzonderlijke organisaties of delen daarvan. Het ISMS is ontworpen om de keuze van adequate en proportionele beveiligingsmaatregelen, die de informatie beschermen en vertrouwen bieden aan belanghebbenden, te waarborgen.

De eisen in deze internationale norm zijn algemeen en van toepassing op alle organisaties, ongeacht type, omvang of aard.

Risico-inzicht in onze bedrijfsprocessen?

Informatiebeveiliging, de veiligheid van (bedrijfs)informatie is sterk afhankelijk van de mate waarin we inzicht hebben in onze bedrijfsprocessen en de risico’s die er op hoog, midden en laag niveau worden geconstateerd. Hiervoor dient dus over de (kritische) bedrijfsprocessen een risicoanalyse te worden uitgevoerd.

Bij een risicoanalyse is het doel om met een gestructureerde methode het risiconiveau van proces en systeem te bepalen. De meetlat hierbij is ISO27001. Tijdens de risicoanalyse worden de drie pijlers beschikbaarheid, integriteit en vertrouwelijkheid van het desbetreffende bedrijf onder de loep genomen door middel van twee sessies. Tijdens de eerste sessie wordt er gekeken vanuit de uitvoering en wordt er op deze onderdelen gedetailleerd gekeken naar specifieke risico’s als het proces en/of systeem niet doet wat er van verwacht wordt. De tweede sessie staat in het teken van de daadwerkelijke bedreigingen en kwetsbaarheden en de echte kans dat dit kan gebeuren en wat de impact is als dit gebeurt. Als beide sessies zijn uitgevoerd rolt er een rapport uit, met daarin het ingeschatte risico en de daarbij behorende te nemen maatregelen.  

Drie voorbeelden, allereerst over beschikbaarheid. Stel, het systeem valt uit en is bepaalde tijd niet benaderbaar. Wat zou hiervan de consequentie zijn voor het bedrijf zelf en de stakeholders? Een tweede voorbeeld over vertrouwelijkheid: stel dat ongeautoriseerde medewerker met een uitgeleend of gestolen personeelspasje inzicht krijgt waar de container met drugs zich bevindt of de ‘pick-order’ kan wijzigen om de douanecontrole te ontlopen? Hoe erg is dat? Ten derde kijken we naar integriteit: stel dat er een structurele fout in de database zit waardoor de informatie niet meer correct is. Wat zijn dan de gevolgen?

Inzicht in de risico’s

Als we zicht hebben op de risico’s kunnen we maatregelen nemen om deze te beheersen. De maatregelen dienen dan te worden getoetst aan het informatiebeveiligingsbeleidsplan van de directie en de maatregelen volgend uit de ISO27001-norm. Deze standaard bepaalt dus welke risico's en welke maatregelen aanvaardbaar zijn en waar de organisatie naar toe moet werken om de kwaliteit van informatiebeveiliging van de organisatie te verbeteren. Het directieteam, verantwoordelijk voor informatiebeveiliging, zal zijn managers moeten aansporen om invulling te geven aan de nodige maatregelen .  

Plan, Do Check en Act

Na het nemen van de maatregelen dient de kwaliteit ervan periodiek te worden gecontroleerd en waar nodig aangepast. Alle beschreven maatregelen, eisen en procedures worden opgeslagen in het speciaal hiervoor ontwikkelde systeem: het ISMS. Daarin staan ook alle documenten, de bijbehorende rollen en verantwoordelijkheden van medewerkers.

Dit klinkt als een flinke klus, en dat is het ook. Je zal als directie een informatiebeveiligingsplan moeten maken en hiervoor een project of programma moeten opzetten. Het is ook een verandering van de organisatie in het nieuwe werken door haar ervan bewust te maken dat informatiebeveiliging bittere noodzaak is. Na het project van opzet, bestaan en implementatie zal de organisatie zich continu moeten verbeteren (Plan, Do, Check en Act) om het gewenste ISO27001-informatiebeveiligingsniveau te kunnen handhaven. Constante aandacht in een veranderomgeving blijft dus nodig. Alhoewel het een flinke klus is levert het ook vele voordelen op.

De winst van ISO27001

Met de ISO-certificering kunnen organisaties aantonen dat de procedures en processen rondom informatiebeveiliging ‘in control’ zijn; dat zij inzicht hebben in de risico’s over hun bedrijfsprocessen; dat organisaties de risico’s met maatregelen tot een aanvaardbaar risico kunnen beheersen; dat de processen en werkwijzen gestandaardiseerd zijn; dat de bedrijfsproducten, activiteiten en diensten van hoge kwaliteit zijn; dat de organisatie zich continu verbetert; en dat zij een betrouwbare partij zijn voor klanten en stakeholders.

Tips

Tot slot een aantal tips voor het toepassen van informatiebeveiliging. Categoriseer al je bedrijfsgegevens: beoordeel de toegang die andere bedrijven hebben via het netwerk en plaats automatische security-controlemechanismen. Zorg ook voor een bedreigingsplan; wees ervan bewust dat informatiebeveiliging niet een eenmalige schoonmaakactie is, maar dat de gehele organisatie er onderdeel van uitmaakt. Maak medewerkers bewust en ontzie niemand. Ook de schoonmaker na kantoortijd niet, of de beveiligers. Kijk ook naar het thuiswerken, het meenemen van gegevensdragers in het openbaar of fotoapparatuur. Laat je verder goed voorlichten over de juiste technologische oplossingen. Bepaal eerst het beveiligingsniveau. Waar ben je afhankelijk en kwetsbaar? Tot op welk niveau dient je informatie te worden beveiligd? Er moet wel een balans zijn tussen beschikbaarheid, integriteit en vertrouwelijkheid.

Verder is het raadzaam goed in beeld te krijgen wat er allemaal aan informatie over het netwerk wordt gestuurd. Beperk internet op de werkplekken en isoleer alleen externe toegang op bepaalde pc’s in een aparte ruimte. Hiermee voorkom je privégebruik en verlaag je de toegangsrisico’s van virussen op je netwerk. Richt ISO31000 in en plan wekelijks of maandelijks een risicosessie in over toekomstige risicoscenario’s. Nodig daar externe deskundigen voor uit. Plan een rondetafelsessie met dergelijke specialisten. Kijk ook niet alleen binnen je eigen grenzen, maar ook naar buiten. Wat kan je treffen? Waar kan je getroffen worden? Welke ontwikkelingen voorzie je? Zorg daarnaast voor een preventieteam met een goede organisatorische omschrijving, die per direct beschikbaar gemaakt kan worden om informatiebeveiligingsaanvallen te bestrijden. Zie het als een soort brandweer. Kijk naar de interne procedures om adequaat te kunnen reageren. Te bureaucratische processen kunnen weleens tegen je werken. Zie het als er brand uitbreekt. Wat doe je dan? Tot slot: wees niet te zuinig met het informatiebeveiligingsbudget. Wat gebeurt er als je niets doet? Wat is dan de schade als je gegevens op straat liggen, bij de concurrent of je weken niet kan werken of produceren? Of nog erger…

Bedenk dat het de mens is, die vaak onbewust informatieonveiligheid creëert.