Neem contact met ons op
+31 (0) 88 000 54 00
info@divetro.nl
Volg ons op LinkedIn
DiVetro BV
Villa de Reehorst
Hoofdstraat 20A
3972 LA Driebergen-Rijsenburg
The Netherlands

Informatiebeveiliging anders bekeken… om meer te zien

Op 6 juni 2013 publiceerden The Washington Post en The Guardian gelekte geheime documenten over PRISM, een programma waarmee de National Security Agency (NSA) wereldwijd online communicatie in de gaten houdt.

De bron van dit informatielek? Edward Joseph Snowden, een voormalig CIA-medewerker die via het bedrijf Booz Allen Hamilton als systeembeheerder voor de Amerikaanse inlichtingendienst NSA werkte. Een subcontractor dus.

De omvang van het lek was in eerste instantie moeilijk te achterhalen. De impact van het lek was wel snel duidelijk. De wereld keek opeens met andere ogen naar de NSA en andere inlichtingen- en veiligheidsdiensten.

Nu, ruim 2 jaar later, lopen organisaties in Nederland nog elke dag gevaar voor informatielekken. Veel organisaties zijn helaas nog niet of onvoldoende uitgerust om informatielekken te voorkomen of erop te reageren.

Hoe staat uw organisatie ervoor? Loopt u veel risico? En hoe kunt u dit voorkomen? U leest het in dit artikel.

Informatiebeveiliging anno 2016

Onze maatschappij is steeds meer afhankelijk van informatietechnologie (IT). Maar hoe meer IT we gebruiken, hoe groter de kans op een informatielek wordt. Dit hoeft geen probleem te zijn zolang onze informatiebeveiliging in orde is. Maar dat is vaak niet het geval. Wij worden vaak geconfronteerd met enkele veel voorkomende problemen op het gebied van informatiebeveiliging.

Informatiebeveiliging: veel voorkomende problemen

  1. Informatiebeveiliging wordt vrijwel altijd vanuit een technisch perspectief opgestart. Dit hoeft geen probleem te zijn, maar het wordt wel een probleem als de business en de eindgebruikers niet betrokken worden.

Je kunt immers moeilijk 20 sloten aan een deur hangen (een technische oplossing tegen inbraak) en verwachten dat gebruikers (de eigenaars van de deur) deze oplossing naar behoren zullen gebruiken en ondersteunen.

Er moet altijd een goede balans zijn tussen beveiliging, gebruiksgemak en urgentie. Deze balans is helaas vaak zoek.

  1. Informatiebeveiliging is vaak incident gedreven. Uiteraard moeten we snel op incidenten kunnen reageren, maar het is nog beter om ze te voorkomen.

Voorkomen is vaak moeilijker en complexer dan genezen, maar het is een cruciaal onderdeel van elke informatiebeveiligingsstrategie. Hier wordt vaak nog (te) weinig tijd en energie aan besteed.

  1. Bij informatiebeveiliging denken we nog te vaak in termen van ‘beveiliging tegen de buitenwereld’. We mogen echter het gedrag en de verantwoordelijkheden binnen onze interne organisatie niet uit het oog verliezen.

Denk maar aan het verhaal van Edward Snowden. Hij heeft van binnenuit (als subcontractor) documenten verzameld en ze daarna met de buitenwereld gedeeld.

Je mag als organisatie een hele hoge muur bouwen zodat niemand kan inbreken, maar als je medewerkers vervolgens geheime informatie met de buitenwereld delen dan heb je nog altijd een groot probleem.

  1. Informatiebeveiliging is (te) vaak een speeltuin voor en van IT experts en hierdoor te complex of niet werkbaar voor de business. Business en IT moeten samenwerken om tot een robuuste en gebruiksvriendelijke informatiebeveiliging te komen. Dit is helaas vaak nog niet het geval.

In het verhaal van Edward Snowden is het nog steeds opvallend dat de NSA moeilijk kon achterhalen welke documenten Snowden (nog) in zijn bezit had. Een betere samenwerking tussen IT en business had mogelijk tot striktere procedures, een betere logging en meer duidelijkheid geleid.

  1. Informatiebeveiliging is vaak “ready for the war of yesterday”, niet voor de uitdagingen van morgen. Veel organisaties lopen achter de feiten aan en zijn hierdoor vatbaar voor problemen met hun informatiemanagement.

Informatiebeveiliging anders bekeken

Hoog tijd dus om anders naar informatiebeveiliging en privacy te kijken. Want door anders te kijken kunnen we vaak meer zien.

Bij DiVetro bekijken wij de zaken graag anders. Dat is ook zo voor informatiebeveiliging. Op basis van onze kennis en ervaring hebben wij een aantal principes geformuleerd die ons toelaten om duurzame informatiebeveiliging te organiseren:

  1. Business-driven informatiebeveiliging: wij richten informatiebeveiliging altijd in op basis van expliciete wensen en eisen van de business. Pas als wij deze wensen en eisen geanalyseerd en gedefinieerd hebben bedenken we een passende technische oplossing. Nooit andersom.

Business-driven informatiebeveiliging houdt rekening met de belangen en prioriteiten van alle interne en externe stakeholders.

Dit leidt tot een gezonde balans tussen beveiliging, gebruiksgemak en urgentie. Het verhoogt ook de kans dat alle medewerkers en klanten de protocollen en procedures begrijpen, ze aanvaarden en ze naleven.

  1. Elke organisatie is uniek, maar elke organisatie dient even goed binnen als buiten haar eigen rangen te kijken. Wij hechten samen met onze klanten veel belang aan de ‘opvoeding’ van alle interne en externe stakeholders om op die manier het gevaar van veiligheidsrisico’s te beperken.
  1. Het is zeer belangrijk dat alle interne en externe stakeholders (het belang van) alle maatregelen met betrekking tot informatiebeveiliging begrijpen. Enkel zo kan iedereen alle maatregelen en protocollen ook ondersteunen en naleven. Dit is een groot aandachtspunten in alle projecten die wij uitvoeren.
  1. Er is een voortdurende en grondige analyse nodig van alle IT-mogelijkheden om steeds twee stappen vooruit te denken. Enkel zo kunnen we één stap vooruit blijven implementeren en een future-proof informatiebeveiliging verzorgen.

Hoe scoort uw organisatie op het gebied van informatiebeveiliging?

  • Hoe scoort uw organisatie op het gebied van informatiebeveiliging?
  • Houdt uw organisatie rekening met alle stakeholders?
  • Kent en ondersteunt iedereen alle procedures en protocollen?
  • Is uw informatiebeveiliging up to date?
  • Zal uw informatiebeveiliging ook morgen nog up to date zijn?

Wij horen uw mening graag via het reactieformulier onderaan dit artikel.

Heeft u verdere vragen of wilt u vrijblijvend een afspraak om uw informatiebeveiliging te bespreken? Neem contact op met onze beveiligingsspecialisten via info@divetro.nl of +31 (0) 88 000 54 00.

Blijf op de hoogte

Vond u dit artikel interessant? Bedankt om het met uw netwerk te delen.

Wilt u meer van dit soort artikelen lezen? Schrijf u hieronder dan in voor onze gratis nieuwsbrief. U ontvangt onze volgende publicaties dan voortaan in uw mailbox zodra ze op onze website verschijnen.

Hoe kunnen wij u helpen?

Villa de Reehorst
Hoofdstraat 20A
3972 LA Driebergen-Rijsenburg
Nederland

Stuur ons een bericht

  • Wij behandelen uw gegevens vertrouwelijk en vragen graag uw toestemming om u via e-mail informatie te bezorgen. Lees hier ons privacybeleid.