icon-arrow icon-check icon-mail icon-phone icon-facebook icon-linkedin icon-youtube icon-twitter icon-cheveron icon-download icon-instagram play close icon-arrow-uturn icon-calendar icon-clock
Werken bij B-able
Blog 09/01/2019

3 risico’s van informatiebeveiliging waar je wat aan kunt doen!

Risico informatiebeveiliging

Diefstal van informatie door hackers, malversaties door gefrustreerde ex-medewerkers, uitval van applicaties, een medewerker die zijn tablet in de leaseauto laat liggen waardoor bedrijfsinformatie op straat komt te liggen: dit zijn allang geen incidenten meer, maar inmiddels de realiteit in het dagelijks leven.

Informatiebeveiliging staat niet altijd bovenaan de agenda van organisaties. De kwetsbaarheid binnen de bedrijfsvoering neemt wel steeds meer toe door de toename van de afhankelijkheid van IT binnen organisaties, en bedreigingen van buitenaf.

De boze buitenwereld komt via internet de organisatie binnen, medewerkers nemen informatie mee naar huis in het kader van ‘plaats en tijd onafhankelijk werken’. Met ketenpartners of met de IT-leverancier wordt informatie gedeeld, waardoor gegevens niet meer binnen de organisatiegrenzen blijven.

Veel organisaties worstelen met de aanpak van een veilige informatievoorziening. De volgende risico’s worden hierin het vaakst genoemd en als de belangrijkste onderkend:

Risico 1: Geen verantwoordelijkheid nemen

Veel organisaties hebben informatiebeveiliging niet op de agenda staan. Er zijn geen richtinggevende beleidsdocumenten met strategische uitgangspunten, overeengekomen ambitieniveau’s en benoemde verantwoordelijkheden op het gebied van informatiebeveiliging.

Heb je er als management alles aan gedaan wat er redelijkerwijs gevraagd kan worden om de betrouwbaarheid van de informatievoorziening te garanderen, en diefstal van data te voorkomen? Bij falen kunnen de gevolgen groot zijn, financieel en qua imago. Je kunt het je niet meer permitteren het onderwerp onbesproken te laten.

Dus, de implementatie van een beheerst proces betekent:

  1. richting geven door beleid vast te stellen

  2. verantwoordelijkheid nemen

  3. voldoende budget toekennen

  4. goed managen

  5. in stand houden van een ‘safety first’ bedrijfscultuur

Na een goede analyse komen steeds meer bedrijven tot het inzicht dat informatiebeveiliging geen opsomming van technische maatregelen is,  maar een managementproces waarop actief gestuurd moet worden.

Risico 2: Niet weten wat je ‘kroonjuwelen’ zijn

Met de implementatie van een Next Generation ‘state of the art’-firewall  en daarnaast nog een geautomatiseerde Identity & Access Managementoplossing, wordt vaak aangenomen dat, met deze vaak erg dure maatregelen, de organisatie wel is beschermd en gevrijwaard van bedreigingen van buitenaf. Vaak is niet (onderbouwd en afgewogen) vastgesteld welke bepaalde bedrijfskritische informatie binnen de organisatie, binnen een bepaalde business unit, welk passend beveiligingsniveau behoeft.

Met het gericht uitvoeren van een  Business Impact Analyse en een risico-analyse op een bepaald informatiesysteem of applicatie, wordt een Gulden Middenweg qua informatieveiligheid, kosten en werkbaarheid op efficiënte wijze bereikt.

Beveiligen kost geld. Wanneer kan worden onderbouwd dat een ‘onsje minder’ aan maatregelen nog steeds volstaat, dan kan een risico gedreven aanpak zelfs geld opleveren. Het adagium in dezen: een acceptabel risico, tegen acceptabele kosten!

Risico 3: De factor mens, en het missen van bewustzijn

Een beheerst proces, met een gedragen beleid en een risicogedreven aanpak is een mooie basis, maar als de factor ‘mens’ niet meewerkt zal er sprake zijn van een valse start.

In veel organisaties is de betrokkenheid bij het onderwerp informatiebeveiliging van het grootste kapitaal, namelijk de eigen medewerkers, niet aan de orde. Juist het gedrag van deze, bewust of onbewust onbekwame, medewerker is de oorzaak van veel ellende binnen een organisatie. We schreven al eerder over het bewust maken van de organisatie.

Veelvoorkomende ‘slordigheden’ zijn bijvoorbeeld:

  1. het niet waarschuwen bij het verlies van een usb-stick

  2. het niet regelmatig veranderen van wachtwoorden

  3. hergebruik van wachtwoorden en gebruikersnamen

  4. de computer niet in slaapstand zetten als deze niet wordt gebruikt

  5. het op reis onbeschermd meenemen van gevoelige bedrijfsgegevens

  6. het niet shredden van vertrouwelijke papieren documenten

Om een gewenst bekwaam gedrag bij medewerkers te bereiken, en ze een bepaald ‘beveiligings-DNA’ mee te geven,  is het zaak om de nut en noodzaak van informatiebeveiliging adequaat te communiceren, in heldere richtlijnen. Het liefst al vanaf de eerste dag van in dienst treden, door middel van een op maat gesneden bewustwordingsprogramma. En door er verder periodiek en eventueel thematisch aandacht aan te besteden tijdens speciale sessies, of tijdens werkoverleg of afdelingsoverleg.

Overzicht blogs

Benieuwd wat de security-experts voor jouw organisatie kunnen betekenen? Neem contact op!