3 niveaus om de veiligheid van uw gegevens te waarborgen

Organisaties krijgen steeds meer te maken met het beschermen van vertrouwelijke en/of privacygevoelige gegevens. Het is essentieel dat deze informatie niet ‘op straat komt te liggen’. Hugo Gerritse (Information Security & Quality Consultant) ziet dat organisaties het lastig vinden de vertaalslag te maken naar alledaagse handelingen in de praktijk.

“Voor organisaties is het een hele klus om in kaart te brengen waar persoonsgegevens worden verwerkt, wie er toegang heeft tot gevoelige informatie en of systemen veilig genoeg zijn. Voldoen aan deze eisen valt of staat met bewustzijn van medewerkers en partijen waarmee een organisatie samenwerkt. Beschikken zij over de juiste expertise en zijn externe partijen bijvoorbeeld gecertificeerd? Dit zijn slechts enkele vragen om dit in kaart te brengen”, aldus Hugo.

Maar hoe zorgt u dat u de juiste beheersmaatregelen treft? En wat verwacht u van klanten, leveranciers en andere externen om hieraan te voldoen? In deze blog vertellen wij op welke 3 vlakken u de veiligheid en kwaliteit van gegevens binnen uw organisatie kunt bevorderen, namelijk;

• Fysieke beveiligingsmaatregelen
• Organisatorische beveiligingsmaatregelen
• Technische beveiligingsmaatregelen

Fysieke beveiligingsmaatregelen op en rondom uw locatie(s)

Onze fysieke en digitale omgevingen veranderen voortdurend. Ontwikkelingen volgen elkaar snel op en ook de veranderende wet- en regelgeving (zoals de AVG) zorgt voor uitdagingen. Hoe is uw toegangsbeleid ingericht? Sluit uw security management systeem hier (nog) op aan? Werken hardware componenten zoals camera’s, inbraaksystemen of sloten naar behoren?

De juiste mix van personele inzet, bouwkundige en elektronische maatregelen zijn vormen van fysieke beveiligingsmaatregelen en hebben impact op de veiligheid van uw gegevens. Enkele voorbeelden die hierin ondersteunen op en rondom uw locatie(s) zijn bijvoorbeeld:

• Autorisatie van bezoekers en medewerkers door middel van een toegangscontrolesysteem.
• Een anti-inbraaksysteem installeren dat alle toegangspunten bestrijkt.
• Inzetten van 24/7 cameratoezicht op de toegangspunten van uw locatie(s).
• Overwegen of 24/7 surveillance van toepassing is.

Organisatorische beveiligingsmaatregelen, bewustwording is essentieel

Deze fysieke beveiligingsmaatregelen vallen of staan met de organisatorische afspraken die worden gemaakt met medewerkers, maar ook met klanten of leveranciers. Daarom is het van belang dat ook zij kunnen voldoen aan uw wensen als het gaat om veiligheid en kwaliteit, dat er duidelijke afspraken zijn en deze afspraken worden vastgelegd. Externe partijen die bijvoorbeeld beschikken over verschillende (ISO) certificeringen kunnen hier aan voldoen. Voorbeelden van maatregelen die getroffen kunnen worden op organisatorisch vlak om daarmee de veiligheid van uw gegevens te waarborgen zijn;

• Een Verklaring Omtrent Gedrag.
• Awareness trainingen op het gebied van privacy en informatiebeveiliging, o.a. in de vorm van social engineering tests, phishing simulaties en workshops.
• Formeel goedkeuringsproces inrichten voor toegang tot ruimtes of bijvoorbeeld klantserver(s).
• Projectmanagement methodieken toepassen waarbij risicobeoordelingen volgens ISO 27001 plaatsvinden.

Certificering voor informatieveiligheid; ISO 27001

ISO 27001 is de internationale norm voor informatieveiligheid. Het certificaat toont aan dat de organisatie de nodige voorzorgmaatregelen heeft genomen om gevoelige informatie te beschermen tegen ongeautoriseerde toegang en bewerking. De norm ziet niet alleen toe op inrichting van processen en procedures, maar ook op naleving, controle, toetsing en permanente verbetering ervan. Het is geen momentopname, maar een continu proces voor bewaking en kwaliteitsverbetering. De ISO 27001 norm kenmerkt zich o.a. doordat;

• Er wordt aangetoond dat informatiebeveiliging op alle niveaus belangrijk wordt gevonden.
• Klanten, werknemers, handelspartners en belanghebbenden worden gesteund in de overtuiging dat in uw organisatie zorgvuldig met de informatie en informatiesystemen wordt omgegaan.
• Helpt eraan bij te dragen dat de betreffende partij de relevante wet- en regelgeving naleeft, zoals de AVG, die eist dat persoonsgegevens goed zijn beveiligd.
• Een goed ingericht en uitvoerend proces voor gegevensbeveiliging leidt tot minder risico’s en daarmee minder incidenten.

Technische beveiligingsmaatregelen voor continuïteit van uw processen

Ook op IT vlak dient u maatregelen toe te passen om daarmee de continuïteit van processen te waarborgen en uw gegevens te beschermen. Dergelijke upgrades zijn zelfs een noodzaak om ervoor te zorgen dat bedrijfsprocessen soepel en veilig blijven verlopen. Dit om in de toekomst de beschikbaarheid, continuïteit en veiligheid van in en rondom uw locatie(s) te garanderen. Daarnaast is het van belang om maatregelen te treffen voor het beheren en bewaren van uw data. Waar bewaart u data? Voldoet dit aan de wet- en regelgeving en sluit dit aan op uw security behoeften? Voorbeelden van deze technische beveiligingsmaatregelen zijn o.a.;

• Toegang tot bijvoorbeeld servers vindt plaats via 2-way authenticatie, over beveiligde dataverbindingen.
• Database servers bevinden zich in beveiligde, ISO 27001-gecertificeerde datacenters.
• Databases worden geback-upt en zowel intern als extern bewaard.
• Systemen en servers worden continu gemonitord en volgens een vast, maandelijks programma geüpdatet.

De juiste balans tussen bewustwording en maatregelen

Het waarborgen van de veiligheid van bedrijfsgegevens valt of staat dus met bewustwording in samenhang met ‘hardere’ maatregelen. Zoals systemen die aansluiten op uw bedrijfsprocessen of in het bezit zijn van certificering.