INFORMATIEBEVEILIGING WHITEPAPER

Transcriptie

1 INFORMATIEBEVEILIGING WHITEPAPER

2 WHITEPAPER De wereld van vandaag wordt gekenmerkt door de snelle ontwikkeling van nieuwe technologieën en disruptieve marktomstandigheden. Deze ontwikkelingen hebben verregaande gevolgen voor bestaande organisaties. Om hun bestaansrecht en een concurrerende positie te blijven behouden, zullen zij in staat moeten zijn om snel en flexibel in te kunnen spelen op veranderingen in de markt. Dat betekent dat organisaties meer moeten gaan digitaliseren, hun producten- en dienstenportfolio beter zullen moeten afstemmen op de behoefte van de klant en meer gebruik zullen moeten maken van innovatieve toepassingen. Voor deze organisaties biedt Mavim een platform dat zowel continue verbeterinitiatieven als bedrijfsbrede transformaties in alle facetten ondersteunt. In één platform ondersteunt Mavim het beheer en de integratie van zes primaire managementthema s voor succesvolle transformatie. De propositie van Mavim is uniek omdat het organisaties in staat stelt de vertrouwde Microsoft-technologieën te blijven gebruiken (zoals Microsoft Visio, Oice365, SharePoint, SQL). Daarmee biedt het een eenvoudige omgeving voor de planning en uitvoering van iedere strategische verandering. De Mavim software is in te zetten bij ieder bedrijfsonderdeel en toe te passen op elk managementvraagstuk. De organisatie bepaalt daarbij zelf het startpunt en kan naar wens en behoefte van de organisatie de toepassing uitbreiden of aanpassen. Het Mavim platform bevat een integratie met modelleer- en publicatietools als Microsoft Visio en SharePoint, voorziet in het hergebruik van bestaande informatie en wordt gekenmerkt door de unieke functionaliteit waarmee verbanden kunnen worden gelegd tussen alle denkbare elementen en gegevens. Hierdoor is Mavim hét ideale platform om iedere transformatie klein of groot te realiseren. 2 INFORMATIEBEVEILIGING

3 INHOUDSOPGAVE Wat is informatiebeveiliging? Wat is het doel van informatiebeveiliging? De geschiedenis van informatiebeveiliging Wat zijn de gevolgen in de praktijk? Waarom zou u met informatiebeveiliging beginnen? Hoe te starten? Wat bereikt u ermee? Wat zijn de valkuilen?

4 WHITEPAPER De beschikbaarheid van informatie en informatiesystemen is voor nagenoeg elke organisatie gewenste beveiligingsniveau binnen een organisatie wordt bepaald. een van de belangrijkste succesfactoren. Organisaties zijn afhankelijk van hun informatie- en communicatietechnologie en ICT neemt hierdoor een steeds belangrijker en strategischer positie in. Informatiebeveiliging is daarom voor ieder bedrijf, instelling, instituut of onderneming van cruciaal belang om alle bedrijfskritische informatie te beschermen en de continuïteit van de organisatie te waarborgen. Informatiebeveiliging kan worden gedefinieerd als het treen en onderhouden van een samenhangend geheel van maatregelen om de beschikbaarheid, exclusiviteit en integriteit van de informatievoorziening te waarborgen. Deze criteria hebben betrekking op: Applicaties: in hoeverre zijn bedrijfskritische applicatiesaltijd en overal beschikbaar? Communicatie: in hoeverre zijn informatie en De vragen die uit deze ontwikkeling voortvloeien zijn essentieel: wat moet u weten van informatiebeveiliging en wat kan een organisatie doen om informatie veilig te stellen? Dit whitepaper geeft antwoord op deze vragen. bedrijfsgegevens exclusief toegankelijk voor degene voor wie ze zijn bedoeld? Informatie: in hoeverre is de geregistreerde en/of gemuteerde informatie blijvend integer en betrouwbaar? Wat is het doel van informatiebeveiliging? Het doel van informatiebeveiliging is het waarborgen van de continuïteit van de bedrijfsvoering en het voorkomen van schade voor de organisatie, veroorzaakt door misbruik van informatie of onjuiste verwerking van informatie. De focus is hierbij gericht op het voorkomen van beveiligingsincidenten en het beheersen en minimaliseren van eventuele risico s. Wat is informatiebeveiliging? Onder informatiebeveiliging worden alle voorkomende maatregelen, procedures en instructies verstaan die betrekking hebben op het waarborgen van alle aspecten van informatieverwerking binnen een organisatie. Het uitgangspunt daarbij is om de juistheid en continuïteit van informatie en informatievoorziening te garanderen en eventuele gevolgen, mogelijke risico s en potentiële schade op gecontroleerde wijze te minimaliseren tot een verantwoord niveau. Dit geschiedt door het treen van de nodige organisatorische, procedurele en technische maatregelen, aan de hand van risicoanalyses, op basis waarvan het De informatiehuishouding van een organisatie is in de loop der jaren veel complexer geworden. Nieuwe technologieën worden in gebruik geno- 4 INFORMATIEBEVEILIGING

5 HET UITGANGSPUNT IS OM DE JUISTHEID EN CONTINUÏTEIT VAN INFORMATIE EN INFORMATIEVOORZIENING TE GARANDEREN men, nieuwe informatiesystemen en applicaties aangeschaft en er wordt meer en meer gebruik gemaakt van relatief goedkope openbare netwerken, via het wereldwijde en relatief onveilige internet. Kortom: het is voor een organisatie en met name haar medewerkers vaak absoluut onduidelijk geworden waar de kwetsbare plekken van de organisatie zitten. mee ook meer gericht op de externe waarde van die bedrijfsprocessen. Wat zijn de gevolgen in de praktijk? Waar met informatie wordt gewerkt, bestaat het risico dat informatie verdwijnt, in verkeerde handen valt en wordt misbruikt of vervormd. Doordat informatie steeds vaker geautomatiseerd wordt Informatiebeveiliging heeft hier een directe waarde omdat onmiddellijk en aan iedereen binnen de organisatie inzicht wordt geboden in hoe de informatievoorziening en bijbehorende infrastructuur, met alle relevante afhankelijkheden, er voor staat en wat bij de uitvoering van procedures, in dit kader van iedere medewerker verwacht wordt. verwerkt en er continu nieuwe communicatiemiddelen voorhanden komen, waarmee deze informatie verspreid kan worden, ontbreekt het vaak aan de nodige kennis en ervaring om risico s tijdig te onderkennen en daarop afdoende in te spelen. Dat verklaart ook waarom bijna 70% van alle beveiligingsincidenten wordt veroorzaakt vanuit de eigen interne organisatie. De geschiedenis van informatiebeveiliging Informatiebeveiliging heeft zich voor veel organisaties in de afgelopen decennia ontwikkeld van een nice to have tot een must have. In de jaren zestig ontwikkelde het vakgebied zich eerst langs de lijnen van de schoksgewijze ontwikkeling van ICT. Sinds ICT volledig in de bedrijfsprocessen is geïntegreerd, volgt informatiebeveiliging juist de ontwikkeling in die bedrijfsprocessen en is daar- Oorzaak hiervan is dat ondanks dat medewerkers zich er terdege van bewust zijn dat er bepaalde richtlijnen, procedures en instructies binnen de organisatie moeten worden gevolgd, zij het behalen van de organisatiedoelstellingen en het verrichten van het dagelijkse werk, van groter belang achten. Derhalve wordt constant een afweging gemaakt tussen doelstellingen en risico s en wordt uiteindelijk vaak gekozen voor het realiseren van de doelstellingen op korte termijn.

6 WHITEPAPER Daarnaast kunnen organisaties ongewenst te maken krijgen met imagoschade wanneer cruciale informatie op straat komt te liggen. Hoe te starten? De belangrijkste fundamenten voor het opstellen van een beveiligingsplan zijn betrouwbaarheidseisen en relevante dreiging. Daarbij fungeert voor zowel de overheid als het bedrijfsleven in toenemende mate de Code voor Informatiebeveiliging als leidraad. Deze code is algemeen geaccepteerd, geldt als standaard voor het hele werkgebied en bevat een groot aantal beveiligingsmaatregelen. Voor het opstellen én onderhouden van een beveiligingsplan wordt geadviseerd onderstaand vierstappenplan te volgen: Het is dan ook uiterste noodzaak om medewerkers bewust te maken van - en inzicht te bieden in - de risico s van informatieverwerking en de zin van informatiebeveiliging, door duidelijk in kaart te brengen welke risico s wel en welke absoluut niet gelopen mogen worden. Waarom zou u met informatiebeveiliging beginnen? Alle ondernemingen lopen uiteraard (bedrijfs)risico s en de meeste organisaties zijn zich goed bewust van hun aansprakelijkheid. Hetzelfde dient men zich te realiseren wat betreft de mogelijke risico s met betrekking tot informatievoorziening en -beveiliging. Op dit vlak kunnen overheden en diverse controlerende instanties namelijk bepaalde sancties met verstrekkende gevolgen opleggen wanneer blijkt dat een organisatie geen adequate voorzieningen heeft getroen om eventuele risico s te vermijden. 1. Minimaal beveiligingsniveau Omdat het uitvoeren van een risicoanalyse en het opstellen van een beveiligingsplan arbeidsintensief is en de nodige ervaring en Veelal worden de meeste incidenten op het gebied van informatiebeveiliging als onvoldoende ernstig ingeschat en meent men dat de kosten eenvoudig worden beperkt tot die van de herstelschade. Dat is natuurlijk niet altijd het geval omdat een onderneming ook door derden aansprakelijk kan worden gesteld voor alle direct en indirect geleden schade. Dan worden organisaties ook geconfronteerd met de kosten van vervolgschade, die meestal een veelvoud van de herstelschade bedraagt. inzichten vergt, verdient het aanbeveling om eenvoudig te beginnen. Daarbij moeten zowel wettelijke maatregelen als best practices in acht worden genomen, zoals het naleven van het auteursrecht op software, de bescherming van persoonlijke informatie, het opstellen van beleidsdocumenten, het toewijzen van verantwoordelijkheden, het rapporteren van incidenten en het treen van de nodige maatregelen om de continuïteit van de organisatie te waarborgen. Het resultaat van deze 6 INFORMATIEBEVEILIGING

7 NIET ALLEEN INFORMATIEBEVEILIGING, MAAR OOK ALLE ANDERE BEDRIJFSPROCESSEN, ZULLEN BETER TE MONITOREN EN TE STUREN ZIJN acties vormt de basis. beveiliging transparant en legt de verantwoordelijkheid bij de betreende eigenaar. 4. Managementsysteem voor informatiebeveiliging Het beveiligingsplan dient regelmatig geëvalueerd te worden en de beveiligingsactiviteiten periodiek doorlopen te worden om het plan actueel te houden. Het verdient aanbeveling daarbij gebruik te maken van bekende kwaliteitsmodellen (zoals INK of EFQM) en om de zogenaamde plan-do-check-act cyclus van Deming te volgen. 2. Basisbeveiligingsniveau Om vanuit alle processen, procedures en relevante weten regelgeving de beveiligingsvereisten vast te stellen en passende beveiligingsmaatregelen te bepalen, is het formeren van een vaste groep proceseigenaren en beveiligingsdeskundigen van essentieel belang. Vervolgens dient de informatiebeveiliging te worden geïntegreerd in de bedrijfsvoering; het moet een vanzelfsprekend onderdeel van de organisatie worden. Voor het beveiligingsbeleid gelden daarbij dezelfde regels als voor andere beleidsterreinen. Plan: opstellen van een plan voor de uitvoering van processen en vaststellen van 3. Beveiligingsniveau informatiesysteem In de volgende fase moet voor elk afzonderlijk systeem expliciet worden onderzocht of de beveiliging valt binnen het basisbeveiligingsniveau. Is dit het geval, dan zijn alle daarbij behorende maatregelen van toepassing. Indien dit niet het geval is, dan moet de reden van een lager beveiligingsniveau nader worden toegelicht of dient verder onderzoek plaats te vinden. Deze basisbenadering is met name normen en concrete (kwaliteits) doelstellingen; Do: geplande processen uitvoeren; Check: controleren van de processen op de uitvoeringsen registerafwijkingen op de norm en de beoogde resultaten meten; Act: evalueren van afwijkingen en resultaten en daarop actie ondernemen. Indien nodig processen herontwerpen voordat deze opnieuw worden uitgevoerd. geschikt voor grotere organisaties; het maakt

8 WHITEPAPER Wat bereikt u ermee? Een belangrijk voordeel dat wordt gerealiseerd met het volgen van voorgaand stappenplan is dat het management en in feite iedereen binnen de organisatie duidelijk en compleet inzicht krijgt in de procedures en mogelijke bedrijfsrisico s. Daarnaast zal het proces van informatiebeveiliging en ook alle andere bedrijfsprocessen, beter te monitoren en derhalve beter te sturen zijn. Een bijkomend voordeel dat wordt bereikt, is dat alleen de juiste en ter zake doende acties ter verbetering en optimalisatie van de procesgang, worden genomen, waardoor het treen van overbodige en vaak kostbare maatregelen wordt voorkomen. Hierdoor zal ook het draagvlak binnen de gehele organisatie voor het correct volgen van het beleid worden vergroot. Daarbij dient te worden opgemerkt dat de kracht van succesvolle informatiebeveiliging in een goede afstemming van de juiste technische en organisatorische maatregelen en eenduidige communicatie met alle betrokkenen ligt. Wat zijn de valkuilen? Doordat de focus waar het gaat om informatiebeveiliging dikwijls ligt op IT, ontstaat vaak een eenzijdige en voornamelijk technische kijk op dit onderwerp. Dit kan leiden tot een beperkt zichtsveld. Als gevolg van overmatig gedefinieerde en te uitgebreide richtlijnen die in het kader van informatiebeveiliging zijn opgesteld, dreigt het gevaar dat het informatiebeveiligingsplan uitmondt in een papieren tijger: een document boordevol regels en voorschriften die in de dagelijkse praktijk nagenoeg door niemand consequent blijken te worden gevolgd. Tenslotte speelt ook de organisatiecultuur vaak een belangrijke rol in het al dan niet slagen van een informatiebeveiligingsbeleid. Zo wordt informatiebeveiliging veelal gezien als belemmerend of vertragend en is een veelvuldig gebezigde uitspraak: bij ons zal het zo n vaart niet lopen. IN EEN SNEL VERANDERENDE WERELD MAKEN WIJ CONTINUE TRANSFORMATIE MOGELIJK Voor organisaties die hun businessmodellen willen wijzigen, een nieuwe weg willen inslaan naar digitalisering of wendbaarder willen worden om beter in te kunnen spelen op veranderingen, biedt Mavim een platform dat grote bedrijfstransformaties en continue verbeterinitiatieven helpt te eectueren. Sinds 1990 leveren en ontwikkelen wij software waarmee organisaties in staat zijn zich snel aan te passen aan continu veranderende omstandigheden. Onze software wordt gekenmerkt door een hoge mate van innovativiteit én gebruiksvriendelijkheid. Zo is onze software eenvoudig en snel te implementeren, direct klaar voor gebruik, eenvoudig in gebruik en in te zetten voor tal van business managementvraagstukken.