Informatie heeft een belangrijk bedrijfsnut en moet daarom vanzelfsprekend op een geschikte manier beschermd worden. Elke organisatie maakt gebruik van informatie in al haar vormen: digitaal, materieel of zelfs onzichtbare informatie zoals kennis van werknemers. Daarnaast creëert en verwerkt elke organisatie informatie. Een bank verwerkt bijvoorbeeld dagelijks miljoenen financiële transacties. Daarnaast zijn er verschillende typen informatie, bijvoorbeeld persoonsgegevens (politieke voorkeur), financiële gegevens (creditcard), beveiligingsgegevens (wachtwoorden) of locatiegegevens (reisinformatie). Ongeacht het karakter van de informatie, deze kan via verschillende kanalen verspreid worden denk aan elektronisch, fysiek of verbaal.

Burgers, bedrijven en de overheid worden steeds meer afhankelijk van digitale informatie. Verstoring van ICT-diensten en diefstal van informatie zijn de meest voorkomende gevaren voor het bedrijfsleven. Door uitval van hardware en cybercrime (zoals niet meer bij uw systemen kunnen) raken bedrijf kritische processen verstoort. Wat kost het uw organisatie als u één dag niet productief bent? Uit onderzoek blijkt verder dat de weerbaarheid van organisaties achter blijft bij de groei van de dreiging (Cybersecuritybeeld Nederland 2017). Ook interne actoren zoals het onopzettelijk wissen van gegevens kan leiden tot reputatie en materiële schade aan de organisatie. Een recent voorbeeld is het weggooien van hartbeelden van een ziekenhuis. Het is niet langer de vraag of het gebeurd, maar wanneer het gebeurd en daarmee hoe u zich hebt voorbereidt.

Systemen worden steeds vaker met elkaar gekoppeld en door de digitale revolutie en het internet in het bijzonder is het nooit te voren makkelijker geweest om informatie met elkaar te delen ongeacht de afstand of apparaat. Dit brengt ook een verhoogde kans van risico met zich mee, want in deze systemen en overdracht van informatie kunnen zogeheten achterpoortjes wagenwijd open staan. Deze kunnen door kwaadwillende criminelen zoals terroristen en hacktivisten ontdekt worden. Los van systemen raken bedrijfsketens ook steeds vaker geïntegreerd met elkaar en lopen processen in elkaar over. De maatschappelijke impact kan enorm zijn als infrastructuurdiensten zoals Microsoft en Amazon Web Services uitvallen, want de dienstverlening in Nederland is hier sterk afhankelijk van (Cybersecuritybeeld Nederland 2017). Dit heeft ervoor gezorgd dat overheid, bedrijven en particulieren meer en strengere maatregelen zijn gaan treffen. Vooralsnog blijft dit achter met de groei. Kortom een goed informatiebeveiligingsmanegement is voor iedere organisatie van belang. Door trends als globalisering en in elkaar vloeiende bedrijfsactiviteiten wordt er steeds vaker minimale Service Level Agreements of andere contractuele eisen gesteld bij samenwerkingen. Zekerheid of te wel assurance, garanties en andere kwaliteitseisen gaan steeds meer gevraagd worden in het bedrijfsleven. Hierbij speelt de overheid een voortrekkersrol.

U wordt daarmee een eenvoudig doelwit voor cybercrime en andere risico’s. Als u geen risico-assessment uitvoert is uw organisatie kwetsbaarder, want u bent zich nog niet bewust van de mogelijke dreiging op het gebied van informatiebeveiliging. Laat staan dat u passende maatregelen en beleid hebt weten vormgegeven. Factoren als uw bedrijfsomvang, type aanwezige gegevens en de waarschijnlijkheid dat een risico werkelijkheid wordt, komen allemaal aan bod in een assessment en zijn bepalend of u passende maatregelen zal moeten treffen. Feit is wel dat sommige bedrijven een groter risico lopen zoals softwareleveranciers die haar producten aan een groot netwerk distribueert. Dit soort type bedrijven moeten een beveiligingsplan gereed hebben. U riskeert overigens boetes en certificaatschorsingen als u niet voldoet aan wet- en regelgevingen zoals de GDRP (AVG).

Elke organisatie is uiteraard uniek en brengt haar eigen risico’s met zich mee. Maar de basis voor informatiebeveiligingsmanagement is een goed risico-assessment. Een assessment komt in de meeste richtlijnen, frameworks en normen voor. Voldoen aan wet- en regelgeving is uiteraard verplicht, maar steeds meer bedrijven onderkennen het gevaar en kiezen er voor om gebruik te maken van gerenommeerde normen en richtlijnen die internationaal of in de sector geaccepteerd zijn. Bijkomend voordeel is dat beleid op basis van normen en richtlijnen meestal certificeerbaar is en u deze openlijk mag communiceren. Deze laag van beveiliging– gebaseerd op normen en/ of richtlijnen - wordt ‘assurance’ genoemd. Het geeft uiteraard geen garanties, maar u bouwt meer zekerheid in.

De vraag blijft altijd ongeacht of u kiest voor een richtlijn, norm, framework of een gehele eigen invulling: ‘hoe veilig is uw informatie en in welke mate beheerst u uw risico’s?’.

Een organisatie 100% waterdicht beveiligen voor cybercrime is vrij lastig, maar u kunt wel maatregelen treffen om bijvoorbeeld hacktivisten het zo moeilijk mogelijk te maken. Om te zorgen voor vertrouwelijke, toegankelijke en integere informatie in uw bedrijf, is het noodzakelijk eerst een goed risico-assessment uit te voeren. Hoogstwaarschijnlijk hebt u al controls ingesteld en beheerst u daarmee enkele risico’s al. Denk aan het verwijderen van inloggegevens na het eindigen van een dienstverband van uw werknemer of elke bedrijfslaptop voorzien van een antivirus en firewall. Een veelgemaakte fout is de gedachte dat de IT-afdeling verantwoordelijk is voor informatiebeveiliging. De werkelijkheid is anders, want in veel gevallen is er persoonlijke betrokkenheid nodig bijvoorbeeld in het geval van phishing of een verloren usb-stick. Daarom is het van belang dat er tijdens de inrichting rekening wordt gehouden met aspecten als personen, processen en techniek.

Lloyd’s Register is primair een partij die organisaties van scherpe onafhankelijke audits kan voorzien op het gebied van informatiebeveiliging. Deze audits worden getoetst op eisen die in richtlijnen, frameworks en normen zijn opgenomen. U kunt er voor kiezen om volgens de ISO 27001 uw informatiebeveiliging in te richten. U zult dan een Information Security Management System (ISMS) moeten inrichten en continue moeten verbeteren. Een belangrijke eis vanuit de ISO 27001 is dat de organisatie voldoet aan wet- en regelgeving. Neem de AVG. Zodra er bij organisaties een ernstig datalek plaatsvindt, hebben zij een meldplicht bij de Autoriteit Persoonsgegevens (AP). Nu is de vraag: ‘wat is een ernstig lek?’. Om deze vraag te beantwoorden, zal een organisatie moeten aantonen dat het verliezen van een database met daarin kleurcodes van producten minder ernstig is dan NAW en inloggegevens van klanten. Dat laatste valt onder persoonsgegevens en valt daarmee zeker onder de privacywetgeving en dient zeker gemeld te worden bij de AP. Een mogelijke oplossing voor een adequate procedure is het aanleggen van een privacy register. Dan weet u welke type informatie u verwerkt, met welk doel informatie verwerkt wordt, wie hier verantwoordelijk voor is en op basis waarvan deze gegevens verwerkt worden. Als deze stap ontbreekt dan zal Lloyd’s Register dit vaststellen en melden in haar rapportage. Op deze wijze zorgen organisaties ervoor dat zij door middel van het omarmen van richtlijnen en normen hun informatie beter beveiligen. Uiteraard kunt u er ook voor kiezen om geen gebruik te maken van frameworks en normen.