U bent hier: Home > In praktijk > Informatiebeveiliging

Informatiebeveiliging

Er is wereldwijd geen bedrijf, privé of van de overheid, dat geen informatie inzamelt, samenvoegt en verwerkt in het eigen informatiesysteem. Zo verzamelt de overheid je gegevens om je pensioen te berekenen, je correct te kunnen belasten of je medische kosten terug te betalen. Het bedrijf waar je werkt, verzamelt je gegevens om je loon uit te betalen.. Grootwarenhuizen verzamelen via klantenkaarten gegevens over je koopgedrag om hun verkoop daarop beter af te stemmen …

Daarom is informatie een kostbaar goed geworden. En kostbare schatten worden extra beveiligd. Tot voor kort was dat niet zo moeilijk. Iedere organisatie had zijn eigen gesloten informaticanetwerk en dat kon gemakkelijk beveiligd worden met simpele maatregelen. Een stevig slot op de deur, een goed werkend programma en een dagelijkse back-up volstonden.

Dit is echter zeer snel veranderd. In een mum van tijd was iedereen met iedereen verbonden via het internet en aan de golf nieuwe informatie- en communicatietechnologieën komt maar geen einde. Het spreekt vanzelf dat hier heel andere, complexere beveiligingsmethodes aan te pas moeten komen.

Natuurlijk bestaat niet alle informatie uit persoonlijke gegevens. Een verffabrikant die de componenten in zijn bezit heeft van een geheel nieuwe kleur, zal die informatie met alle middelen streng bewaken, zodat ze niet gekopieerd wordt. Wij daarentegen zullen ons vooral focussen op de beveiliging van informatie die persoonlijke gegevens bevat. Omdat de wetgever met de Privacywet de bescherming van persoonsgegevens tot een verplichting heeft gemaakt, heeft eenieder die persoonsgegevens verwerkt de plicht die informatie te beschermen en te beveiligen.

Tja, gemakkelijker gezegd dan gedaan! Want, hoe begin ik daaraan? Wat moet ik nu precies beschermen en wanneer? Wat wil ik daarmee bereiken? Eenvoudige vragen maar ingewikkelde antwoorden. Daarom is deze tekst opgevat als een eerste verkenning van de wondere wereld van informatiebeveiliging. Wie echter dieper wil ingaan op informatiebeveiliging, leest beter het document “beveiliging van persoonsgegevens”.

Vooraleer we plannen maken om onze informatie te beveiligen, horen we te weten wat we verstaan onder "beveiligde informatie" of anders gezegd " informatiebeveiliging". Nu we weten dat informatie voor een bedrijf van levensbelang is, is het absoluut noodzakelijk dat die informatie van goede kwaliteit is. Foute informatie is soms nog erger dan geen informatie. Stel dat het warenhuis waar jij klant bent met een grote reclamecampagne aankondigt dat elke jarige klant een geschenk krijgt. Helaas val jij samen met een grote groep andere klanten uit de boot omdat de klantengegevens op een of andere manier verloren zijn gegaan. Voor het warenhuis is dit natuurlijk heel slechte reclame en er zal veel moeten gebeuren vooraleer het de verloren klanten zal kunnen terugwinnen.

Dus informatie van goede kwaliteit is juiste en daarom ook goed beschermde en veilige informatie . Die informatiebeveiliging kan worden getoetst aan zeven kenmerken, ook beheerskenmerken genoemd, die hier worden opgesomd. Vertrouwelijkheid: alleen personen die daarvoor toelating hebben, krijgen toegang tot de informatie, integriteit: de informatie kan niet opzettelijk of onopzettelijk veranderd worden, beschikbaarheid: de informatie is toegankelijk en bruikbaar telkens een gemachtigde persoon erom vraagt, toerekenbaarheid: hierdoor is er altijd een spoor naar de auteur en de bewerking zelf van de informatie, onweerlegbaarheid: hiermee kan bewezen worden dat een bewerking of een gebeurtenis werkelijk plaatsvond en kan dit niet nu en ook niet later ontkend worden, authenticiteit: dit is de eigenschap waardoor men zeker weet dat iemand is wie hij beweert te zijn en ten slotte betrouwbaarheid: de eigenschap waardoor het verwachte resultaat wordt verstrekt. Als jouw informatie deze zeven eigenschappen bezit, dan mag je stellen dat ze beveiligd is en dus kwaliteitsvol.

Wanneer die informatie nu persoonsgegevens bevat, speelt ook de Privacywet mee. De Privacywet gaat nog een stuk verder en omschrijft bijkomende kenmerken waaraan informatie die persoonsgegevens bevat, moet beantwoorden om beveiligd en beschermd te zijn. Zo moeten persoonsgegevens eerlijk en rechtmatig worden verwerkt voor welbepaalde doeleinden, moeten zij toereikend, ter zake dienend, niet overmatig en nauwkeurig zijn, regelmatig worden bijgewerkt en niet langer worden bewaard dan nodig.

Daarnaast moet ieder bedrijf of elke organisatie een aantal maatregelen treffen om de persoonsgegevens die ze verwerken voldoende te beschermen. Zo moeten zij aangifte doen van hun verwerkingen bij de Commissie, de rechten van de betrokken personen eerbiedigen, ervoor zorgen dat gegevens altijd juist zijn of ze verwijderen als dat nodig is, erover waken dat er alleen verwerkingen gebeuren voor het vooropgestelde doel, de toegang tot de persoonsgegevens beperken tot de personen die daar toelating (machtiging) voor hebben gekregen, de gegevens beschermen zolang ze bestaan en wanneer ze de verwerking aan een ander toevertrouwen, neemt die ander via een contract de plichten en verantwoordelijkheden van de organisatie over.

Kortom, dankzij de Privacywet hebben wij er recht op dat onze persoonsgegevens worden beschermd en die bescherming kan enkel worden geboden als bepaalde beheersmaatregelen worden genomen.

Nu we weten waaraan onze informatie moet beantwoorden, kunnen we een goed beveiligingssysteem uitwerken om die informatie te beveiligen, zodat ze steeds dezelfde kwaliteit kan behouden. En zoals eerder gezegd: kwalititeitsvolle informatie is absoluut noodzakelijk, wil een organisatie blijven voortbestaan.

Er zijn verschillende methodes om ervoor te zorgen dat de informatiebeveiliging behouden blijft. De ene methode is al duurder dan de andere. Daarom moeten de dreigende gevaren en de maatregelen die we daartegen zullen nemen, zorgvuldig tegenover elkaar worden afgewogen. Wanneer onze onderneming alleen maar geconfronteerd wordt met kleinere gevaren, heeft het geen zin dat we logge en zeer complexe beheersmaatregelen nemen.

Er moet dus weloverwogen maar ook met gezond verstand beveiligd worden. Daarom pakken we dat methodisch aan. Die aanpak wordt risicobeheer genoemd. Eerst gaan we na aan welke risico’s we blootgesteld zijn. Daarna zullen we beslissen welke risico’s worden aangepakt en welke we zullen aanvaarden. We stellen een lijst op met bovenaan de belangrijkste en gevaarlijkste risico’s en onderaan de risico’s die voor ons onbetekenend zijn. Met die lijst kunnen we aan de slag en kunnen we beveiligingsprocedures uitschrijven.

Eens alle maatregelen en beveiligingssystemen zijn ingevoerd, moeten we dagelijks nagaan of de beheersmaatregelen wel werken en of de beveiligingsregels worden nageleefd, zodat we er altijd zeker van zijn dat alles in veiligheid is. Dit wordt dagelijks beveiligingsbeheer genoemd. Als er toch een incident is, onderzoeken we de oorzaak en gaan we na op welke manier dit incident in de toekomst vermeden kan worden. Daarna passen we de beveiligingsmaatregelen daaraan aan.

Dit gebeurt met een managementsysteem. Met dit systeem wordt de beveiliging voortdurend verbeterd en aangepast aan veranderende omstandigheden en nieuwe technologieën.

Nu kan ons bedrijf beginnen met de opmaak van een beveiligingsbeleid waarmee de informatie die we bezitten zo goed mogelijk beschermd is tegen allerlei gevaren die schadelijk kunnen zijn voor ons voortbestaan.

Het informatiebeveiligingsbeleid houdt rekening met alle mogelijke aspecten die voor onze organisatie een gevaar kunnen vormen of schade kunnen veroorzaken. Al deze mogelijkheden worden in kaart gebracht en bestudeerd, waarna we de passende maatregelen kiezen.

Eerst moeten we kijken wat nu precies in gevaar kan worden gebracht, met andere woorden wat het bedrijf bezit of wat het vermogen van ons bedrijf is. Daarna onderzoeken we welke gevaren ons bezit bedreigen.
Die dreigingen kunnen een brand zijn of een computercrash. Maar het kan ook een onopzettelijke menselijke dreiging zijn. Bijvoorbeeld iemand die bij vergissing een vertrouwelijk document op de trein liet liggen. Of er is kwaad opzet in het spel, zoals inbraak of spionage.

Vervolgens moeten we ook rekening houden met de zwakke schakels of kwetsbaarheden binnen ons bedrijf. Dit kan verkeerd geïnstalleerde software zijn of een slecht werkend slot aan de toegangsdeur van een lokaal waar belangrijke informatie wordt bewaard. Zulke zwakke plekken in de beveiliging kunnen er echt toe leiden dat er schade wordt veroorzaakt. Door een programmeerfout kan een hacker bijvoorbeeld in het systeem inbreken en een bestand vernietigen.

Daarnaast zijn er helaas ook altijd nog onverwachte incidenten, zoals bijvoorbeeld een overbelasting van het informatiesysteem We moeten dus trachten mogelijke incidenten in rekening te brengen.
Bovendien zijn bepaalde incidenten niet zonder gevolgen en kan de impact ervan soms enorm zijn. Zo zou een aangetast bestand met gegevens over kinderbijslag uw gezin erg kunnen benadelen. Ook hiervoor moeten we een oplossing bedenken.

En ten slotte moeten we de risico's die ons bedrijf loopt, proberen in te schatten. We berekenen de kans dat een bepaald gevaar zich in het bedrijf voordoet (bijvoorbeeld een virus dat een bestand wist) en we trachten in te schatten hoe groot de gevolgen daarvan zullen zijn. Zo kan het gaan om een gewist bestand van de loonberekening van ons personeel of om een personeelslid dat zijn wachtwoord voor toegang tot het boekhoudbestand heeft doorgegeven aan een collega. De gevolgen van beide voorvallen kunnen erg van elkaar verschillen.

Nu we alle elementen kennen die voor ons bedrijf een gevaar kunnen betekenen, stellen we onze beheersmaatregelen op. We zoeken voor alle blootgelegde gevaren en risico's de oplossing die voor ons bedrijf het meest geschikt is. We kunnen mogelijke gevaren verminderen of kwetsbaarheden corrigeren door ervoor te zorgen dat de gevolgen worden beperkt. We kunnen ook actief mogelijke incidenten opsporen zodat we kunnen optreden nog vóór de situatie verergert.

En tot slot zijn er de overblijvende risico’s of restrisico’s, die blijven bestaan nadat de beschermingsmaatregelen werden ingevoerd. Die restrisico’s zijn niet te vermijden (bv. menselijke vergissingen) maar het komt erop aan ze zo klein mogelijk te houden.

Het is dus een illusie te denken dat we alle risico’s kunnen uitsluiten. Al hebben we nog zo goed beveiligd, onverwachte gebeurtenissen blijven altijd mogelijk: kwaad opzet bijvoorbeeld, maar ook menselijke fouten, natuurrampen, enz. Helaas slaan die gevaren meestal onverwacht toe waar ze het minst worden verwacht. Er zit niets anders op dan met dit risico te leren leven. Het enige wat we nog kunnen en moeten doen is dit overblijvende risico zo klein mogelijk houden. Dit is voor ieder bedrijf anders en dat is dan ook de reden waarom er geen pasklare modellen bestaan voor de opmaak van een informatiebeveiligingsbeleid. Elk bedrijf zal een beleid moeten opstellen dat het best bij de organisatie past.

Omdat verkeerd gebruik van onze persoonlijke gegevens een enorme invloed kan hebben op ons leven, legt de Privacywet naast bovengenoemde aspecten nog bijkomende voorschriften op. Zo moet de verantwoordelijke voor de gegevensverwerking bepalen wie nu toegang mag hebben tot de gegevens, moet hij vastleggen wanneer en onder welke voorwaarden dit kan gebeuren (vertrouwelijkheid van de gegevens), en moet hij bepalen op welke manier de gegevens worden ingezameld en wie die gegevens mag verwerken of wijzigen (integriteit van de gegevens). Hij zal ook de termijn vastleggen waarbinnen de gegevens toegankelijk zijn en met welke methode ze beschikbaar zijn (beschikbaarheid van de gegevens), en ten slotte moet hij vastleggen welke bewijzen er aangemaakt moeten worden (wie heeft wanneer toegang gehad tot welke gegevens).

Vroeger was informatiebeveiliging vooral een taak voor de informatici van het bedrijf en volstond het om een aantal technische maatregelen te nemen om het informatiesysteem van het bedrijf veilig te stellen.

Ondertussen is er zoveel veranderd en zijn er zoveel nieuwe mogelijkheden en toepassingen dat informatiebeveiliging een allesomvattende aanpak vraagt. Hoewel het initiatief moet uitgaan van de directie is het tegenwoordig zo dat iedere persoon die invloed kan uitoefenen op een of ander element van het informatiesysteem verantwoordelijkheid draagt. Dit is vrijwel iedere persoon die tot het bedrijf behoort. Het is van het grootste belang dat iedereen, elke dag opnieuw, actief meewerkt om de veiligheid te bewaren.

De directie kan dit doen door een informatiebeveiligingsbeleid uit te werken en erop toe te zien dat de maatregelen die ze heeft ingevoerd, daadwerkelijk in de praktijk worden omgezet. De personeelsleden door die maatregelen op te volgen. Bijvoorbeeld door geen onnodige informatie vrij te geven, of door erop toe te zien dat de toegangsdeur tot het lokaal waar vertrouwelijke informatie ligt opgeslagen, correct wordt gesloten, of door een persoonlijke toegangscode tot een databank niet aan een ander door te geven,….

De directie moet voor zichzelf en haar personeel een gedragscode voor informatiebeveiliging opstellen en ze zal haar personeel daarvan bewust maken. Alle personeelsleden moeten ervan doordrongen zijn hoe belangrijk het is dat zij de beveiligingsregels in acht nemen. Zij moeten zich ten volle bewust zijn van de gevolgen als zij niet zorgvuldig en volgens de regels met informatie omspringen. Voor iedereen binnen het bedrijf moet het een tweede natuur worden de beheersmaatregelen op te volgen. Alleen op die manier kan een beveiligingsbeleid doeltreffend zijn.

Daarnaast moet de directie ook een veiligheidsconsulent voor het informatiesysteem aanstellen. De veiligheidsconsulent is de initiatiefnemer en de drijvende kracht achter het informatiebeveiligingsbeleid. Hij is er verantwoordelijk voor dat het beveiligingsbeleid wordt uitgevoerd. Hij is het die beveiligingsvoorstellen doet, bepaalt welke doelen er moeten bereikt worden, de verschillende personen aanstuurt die het beveiligingssysteem installeren. Hij onderzoekt en bestudeert beveiligingsincidenten en stelt maatregelen voor om verbetering te brengen. Hij zorgt er ook voor dat niemand voor tegengestelde belangen onder druk wordt gezet en hij is de contactpersoon voor alle beveiligingszaken. Hij rapporteert rechtstreeks aan de directie en hij krijgt voldoende geld, personeel, apparatuur en uitrusting om zijn taken naar behoren uit te voeren.

Er bestaan verschillende internationale modellen en richtlijnen die kunnen dienen als gids bij de opmaak van een beveiligingsbeleid. De Commissie heeft ook zelf een model opgesteld om de verantwoordelijke voor de verwerking te helpen bij de beveiliging van de persoonsgegevens die hij wil verwerken: “referentiemaatregelen voor de beveiliging van elke verwerking van persoonsgegevens”.

Om na te gaan of een verantwoordelijke voor de verwerking wel degelijk voornoemde referentiemaatregelen naleeft, heeft de Commissie per sector een evaluatieformulier opgesteld.

Evaluatieformulier voor elkeen die een elektronische mededeling van gegevens wenst te verkrijgen (Word-document/pdf-bestand) - Sectoraal comité voor de Federale Overheid

Evaluatieformulier voor elkeen die mededeling van gecodeerde studiegegevens vraagt overeenkomstig artikel 15 van de statistiekwet (Word-document/pdf-bestand) - Statistisch Toezichtscomité

Voor het Sectoraal comité van het Rijksregister is dit formulier opgesplitst in twee delen:

• "Voorstel tot aanstelling van een consulent inzake informatiebeveiliging" (Word-document/pdf-bes tand);
• "Conformiteitsverklaring inzake het informatiebeveiligingssysteem dat het voorwerp is van de machtigingsaanvraag voor toegang tot of verbinding met het Rijksregister" (Word-document/pdf-bestand).
  

Een goed informatiebeveiligingsbeleid moet worden opgezet volgens een aantal belangrijke principes: zonder beveiliging geen kwaliteitsvolle informatie, beveiliging is een mentaliteit, ze moet bewust aangepakt worden volgens een systeem en met een bepaald doel. Beveiliging is in de eerste plaats een zaak van de directie en daarna van iedereen binnen het bedrijf. Totale beveiliging is een illusie. Beveiliging is nooit voltooid en moet voortdurend onderhouden worden. Maar een beveiligingsbeleid moet vooral met een flinke portie gezond verstand worden opgezet. Verschillende eenvoudige maatregelen zijn even doeltreffend als één ingewikkelde maatregel. Het gevaar schuilt ook binnenshuis: de zwakste schakel in het beveiligingssysteem is de mens; zich informeren en opleiden komt op de eerste plaats. En wanneer er persoonsgegevens worden verwerkt, moeten de principes van de Privacywet voor de bescherming van persoonsgegevens in het informatiebeveiligingsbeleid worden opgenomen.

Wanneer we al deze richtlijnen in acht nemen, kunnen we spreken van informatiebeveiliging.

Lees ook in het lexicon: Vertrouwelijkheid - integriteit - beschikbaarheid - toerekenbaarheid - onweerlegbaarheid - authenticiteit - betrouwbaarheid - beheersmaatregelen - risicobeheer - dagelijks beveiligingsbeheer - managementsysteem - vermogen - dreigingen - kwetsbaarheden - incidenten - impact - risico's - restrisico’s