Informatiebeveiligingsincidenten, bijna dagelijks wordt er wel wat over geschreven op verschillende nieuwssites. Deze bedrijven dachten ook vast, dat overkomt mij niet en toch is hun iets overkomen, waardoor informatie op straat ligt. Een andere situatie is ook steeds vaker gaande. Bedrijven starten in de ochtend hun systemen op en krijgen een melding dat de data is encrypted. Geen paniek, we zetten de back-up wel terug. Totdat blijkt dat deze ook is encrypt.
We spreken met Marco Bijl, Directeur van DigiTrust. DigiTrust is een certificerende organisatie met als specialisatie Informatiebeveiliging. Marco vertelt dat veel bedrijven helaas nog steeds denken ‘dat overkomt mij niet’, ik ben een kleine organisatie, wie zou mij nu willen hacken. Helaas is de praktijk anders. Er zijn criminele organisaties die het hebben gemunt, juist op mkb bedrijven. Steeds meer grotere bedrijven hebben hun basis wel op orde. Niet dat deze niet te hacken zijn, maar de hacker moet daar veel meer tijd in stoppen. En waarom veel tijd verliezen als je ook door chantage en niet te veel tijd geld kunt verdienen bij mkb bedrijven? De praktijk bewijst dat helaas veel mkb bedrijven nog niet alle noodzakelijke beheersmaatregelen op orde hebben.
De boel op orde hebben
De boel op orde hebben betekent niet alleen het hebben van een firewall en het hebben van backup’s.
Problemen kun je voorkomen door een goed samenhangend geheel van maatregelen op de techniek, fysiek en beleid. Een goed samenhangend geheel wordt gevormd door een zogenaamd managementsysteem voor informatiebeveiliging ook wel ISMS genoemd. De ISO27001 norm en de NEN7510 norm voor in de zorg, beschrijven de eisen van een dergelijk systeem.
Het begint met een goede context analyse. Wie ben je en wat doe je, immers iedere organisatie is anders. Vervolgens moet je een beleid schrijven m.b.t. informatiebeveiliging. Waarom doe je dit en wat vind je belangrijk en wat wil je ermee bereiken en je moet zorgen dat er voldoende kennis is m.b.t. informatiebeveiliging. Een volgende belangrijke stap is het uitvoeren van een risicoanalyse. Welke informatiebeveiliging risico’s zijn er en welke informatie moet je zéker beschermen? Standaardlijstjes kunnen je hierbij helpen. Vervolgens ga je deze risico’s analyseren en prioriteiten bepalen en acties uitzetten. De norm heeft 114 beheersmaatregelen genoemd die je in ieder geval niet mag vergeten.
Als je na enkele maanden voorbereiding op een niveau bent dat je aan alle normeisen denkt te voldoen, moet je een interne audit en directiebeoordeling uitvoeren.
Maar waarom dan certificeren?
Het is belangrijk dat een onafhankelijke organisatie naar je opgebouwde systeem kijkt. Wij auditen het systeem en oordelen of je aan alle normeisen voldoet. Als dit zo is, zal dit leiden tot een certificering van je managementsysteem voor informatie beveiliging. Deze verklaring is steeds vaker een eis bij aanbestedingen en inkoopvoorwaarden. De reden hiervan is dat jouw klanten niet in de problemen willen komen, doordat jij een informatiebeveiliging issue hebt, waarmee hun goede naam wordt geschonden. Daarnaast is het ook zo, dat veel bedrijven bedrijfsdata, persoonsgegevens en gezondheidsinformatie verwerken. Klanten willen er gewoon op vertrouwen dat de data bij jouw organisatie in goede handen is. In ieder geval dat ‘de basis op orde is’ De kans dat je gehackt wordt is nooit weg, maar een hacker moet gewoon meer moeite doen om bij jou binnen te komen. Het is vergelijkbaar met een inbraak. Het huis met het meest eenvoudige slot is makkelijker, dan een huis vol beheersmaatregelen.
Als laatste is er dan nog de autoriteit persoonsgegevens (AP). Deze verwacht dat je als bestuurder er alles aan hebt gedaan om de persoonsgegevens te beschermen. Het hebben van een certificering is een bewijs dat jij, als bestuurder er alles aan gedaan hebt om eventuele issues te voorkomen. Als de AP oordeelt dat je er niet alles aan hebt gedaan of wanbeleid hebt uitgevoerd zullen ze boetes uitdelen. Inmiddels is dit ook al verschillende keren uitgevoerd en heeft het verregaande consequenties voor bestuurs- en bedrijfscontinuïteit.
Voorkomen is beter dan genezen en dat geldt hier ook. Wees je bewust dat de wereld is veranderd. Bereid je voor op een aanval. Het is niet de vraag of je gehackt wordt, maar wanneer. En als dat zou gebeuren, weet je het dan wel?
Helden
Om veilig te werken in de digitale wereld hebben we helden nodig. Het gaat niet werken als niemand een geheel onpartijdig oordeel geeft over waar jouw organisatie staat m.b.t. informatiebeveiliging. Je moet weten waar jouw risico’s liggen en waar je verbeterkansen liggen. DigiTrust heeft helden in dienst. Wij auditen en certificeren organisaties, waarbij wij geheel neutraal naar jouw managementsysteem kijken en of je wel of niet de boel op orde hebt.
Daarvoor moet je integer zijn en de morele moed hebben om te zeggen waar het op staat.
DigiTrust heeft van de Raad voor Accreditatie (RvA) het vertrouwen gekregen dat wij onder accreditatie ISO27001 en NEN7510 audits mogen uitvoeren en mogen certificeren. DigiTrust is de eerste organisatie in Nederland die dit voor de NEN7510 mag doen in de Zorg en IT dienstverleners.