Beheersmaatregelen Informatie beveiliging

Om grip te krijgen om de informatie beveiliging van je organisatie, is het belangrijk om je processen goed in te richten. Dit doe je met name door het opstellen van zogenoemde beheersmaatregelen, activiteiten die je gedurende het jaar uitvoert om de beveiliging van je systemen te controleren, je processen in orde te brengen en te houden en medewerkers bewust te maken (en behouden) van het belang van informatiebeveiliging. 

Wat zijn beheersmaatregelen en waarom implementeer je ze?

Beheersmaatregelen zijn activiteiten die uitgevoerd worden om ervoor te zorgen dat informatie beveiligd is. Maatregelen zorgen ervoor dat de kans dat bepaalde risico’s rondom informatiebeveiliging lager worden, zodat eventueel resterende risico’s zich op een acceptabel niveau bevinden. Op deze manier ben je als organisatie in controle over de risico’s, weet je wat er zich voor zou kunnen doen en wat dit voor effect heeft op je organisatie. En door de eventuele maatregelen die risico’s kunnen verlagen te implementeren, weet je ook waarvoor je het doet. 

Een koppeling van het opstellen van beheersmaatregelen door middel van het uitvoeren van een risico analyse, geeft daarom een goed beeld van maatregelen die risico’s verminderen. 
De beheersmaatregelen die door de organisatie opgesteld en geïmplementeerd kunnen worden zijn heel breed. Hieronder een paar voorbeelden:

  • Informatiebeveiligingsbeleid opstellen;
  • Bijbehorende processen opstellen, zoals bijvoorbeeld hoe om te gaan met informatiebeveiliging rondom thuiswerken of het opstellen van een Clean Desk Policy;
  • Informatiebeveiligingsbeleid overhandigen bij indiensttreding van nieuwe medewerkers
  • Technische maatregelen, zoals back-ups maken of encryptie op een bepaalde manier instellen;
  • Log files downloaden en nalopen op afwijkingen;
  • Uitvoeren van interne audits. 

Bovenstaande zijn slechts enkele voorbeelden voor het inrichten van beheersmaatregelen. Je kunt het als organisatie zo breed maken als je wilt.

Om informatiebeveiliging beheersbaar te maken en te behouden is het niet alleen noodzakelijk beheersmaatregelen te implementeren, maar moet er natuurlijk ook uitvoering aan gegeven worden. Dit betekent dat er verantwoordelijkheden beschreven moeten worden: wie moet wat doen en wanneer moet deze persoon dit doen? 

Ook het gedrag van medewerkers is van belang bij het implementeren van maatregelen. Er moet een controle op zitten dat maatregelen begrepen worden (awareness) en dat medewerkers uitvoeren wat er van hen verwacht wordt. Dit vergt inzet aan alle kanten. Vanuit directie en management, door het tonen van leiderschap en betrokkenheid bij de veranderingen die medewerkers meemaken en van medewerkers, door te begrijpen waarom het invoeren van maatregelen van belang is en door hier ook structureel aan mee te werken. 

Hoe kom je tot het bepalen van beheersmaatregelen? 

Zoals al eerder gesteld gaat het bepalen van beheersmaatregelen m.i. het beste door middel van het uitvoeren van een risicoanalyse. Op deze manier wordt er ‘risk-based’ nagedacht over welke risico’s de organisatie op het moment van analyse zou kunnen lopen en welke maatregelen de organisatie zou moeten opstellen en implementeren om deze risico’s te verminderen. Door te kijken naar (mogelijke) risico’s en door de risico’s een score te geven op basis van bijvoorbeeld kans x impact, kun je als organisatie kijken op welke manier welke risico’s voor jou van belang zijn. Daarna maak je de koppeling naar het beheersen van deze risico’s. Dit kan bijvoorbeeld door het opstellen van beleid of werkinstructies, maar ook door bijvoorbeeld het instellen van 2 factor authenticatie voor het inloggen op bepaalde (gevoelige) systemen en applicaties. 

Wat betekent het inrichten van beheersmaatregelen voor je organisatie? 

Het opstellen en inrichten van beheersmaatregelen hangt af van de behoefte van je organisatie. Het kan heel klein gehouden worden, bijvoorbeeld door te zorgen dat de back-ups in orde zijn en regelmatig gecheckt worden, tot heel breed, waarbij je als organisatie bijvoorbeeld op wil gaan voor bijvoorbeeld een ISO27001 of NEN7510 certificering en hiervoor beleid en processen uitgebreid ontwikkelt en implementeert. 

Veel organisaties hebben tegenwoordig een Security Officer als rol binnen de organisatie. Dit is soms een aparte functie, onderdeel van een al bestaande functie of een zzp’er (zoals ikzelf) die voor een aantal uur in de week ingehuurd wordt om deze rol te vervullen. Deze persoon heeft de taak om ervoor te zorgen dat informatiebeveiliging gedragen wordt binnen de organisatie en dat het opgestelde beleid en processen gevolgd worden. 

Geïnteresseerd in wat ik kan betekenen? Neem contact op!