Q&A: Hoe ziet een goed beveiligingsbeleid eruit?

Waarom is een uitgebreid beveiligingsbeleid nodig?

Om de haverklap verschijnen er in de media berichten over vertrouwelijke informatie die verloren is gegaan of openbaar werd gemaakt. De toegenomen populariteit van cloud, thuiswerk en BYOD (bring your own device) en het gebruik van mobiele dragers zoals smartphones, tablets en laptops brengt grotere risico’s met zich mee.

Data zijn voor menig bedrijf intussen het hoogste goed. Het is voor een bedrijf dan ook van het grootste belang dat het haar visie op beveiliging en de uitwerking van die visie duidelijk omschrijft, bijvoorbeeld via een security policy. Een goed beleid moet niet alleen regels vastleggen, het moet ook werknemers alert houden en hen bewustmaken van veiligheid.

Wat moet zo’n security policy bevatten?

Een beveiligingsbeleid of security policy geeft op een gestructureerde manier weer hoe je bedrijf zijn waardevolle activa (data, maar ook processen) het best beschermt, te beginnen met de grootste risico’s. Zo’n algemeen beveiligingsbeleid gaat vrij breed en zeker niet alleen over IT. Het omvat zowel de fysieke toegangscontrole over deuren en wie er sleutels krijgt voor welke gebouwen, als het IT-beleid. Wanneer het specifiek gaat over het beschermen van data, heeft men het meestal over information security policy. Deze policy omvat wachtwoord- en firewall-beleid, maar ook wie toegang krijgt tot welke websites, systemen en processen, op welke manier data worden opgeslagen, wie er op het wifinetwerk van het bedrijf mag, enzovoort.

 Wie maakt zo’n policy?

De eerste stap is om alle betrokken personen in een werkgroep samen te brengen, al dan niet in aanwezigheid van een externe consultant. Die werkgroep bestaat uit een diverse profielen: een directielid, de HR-manager, IT-manager, business managers van de verschillende afdelingen, liefst ook een juridisch verantwoordelijke en uiteraard een afgevaardigde van de gebruikers.

Wat staat er in?

Een beveiligingsbeleid moet in de eerste plaats antwoord geven op een aantal concrete vragen: wie is verantwoordelijk voor welk proces en wie moet dus ingrijpen bij problemen? Welke processen en IT-systemen zijn bedrijfskritiek en mogen nooit uitvallen? Wie mag ze gebruiken?

Uitgebreide security policies schrijven ook voor op welke manier hardware moet worden aangepakt of vernietigd, zodat de data die erop stonden zeker gewist zijn. Ook zullen ze encryptie- en veiligheidsmaatregelen voor toestellen zoals smartphones en laptops formuleren. Steeds meer bedrijven voegen aan hun beleid ook clausules toe over sociale netwerken zoals Facebook. Aan de hand van een checklist zoals ISO 27002 worden dan de noden van het hele bedrijf blootgelegd.

Wat is het verschil tussen ISO 27002 en 27001?

ISO 27002 is een internationaal erkende standaard die praktische maatregelen op het vlak van informatiebeveiliging formuleert. Het bevat een groot aantal concrete maatregelen en vormt zo een nuttige controlelijst, zodat jouw organisatie geen enkel aspect van IT-beveiliging over het hoofd ziet. Je hoeft ISO 27002 niet letterlijk te volgen, en je kunt er je ook niet in certificeren. Daarvoor werd ISO 27001 in het leven geroepen. Die laatste formuleert eisen voor het implementeren, uitvoeren en controleren van een gedocumenteerd information security management-systeem, en voor die standaard kun je je wel certificeren.

Wat is de zwakste schakel?

Bijna zonder uitzondering: je medewerkers. Zolang zij niet begrijpen dat die virusscanner heel wat meer doet dan de laptop vertragen, gaan ze hem misschien proberen uit te schakelen. En zonder duidelijke communicatie over phishing en andere internetrisico’s, mag het je niet verbazen als iemand op die manier per ongeluk een virus binnensmokkelt. Bijscholing, procedures, communicatie en geregelde (externe) audits leveren soms sneller resultaat op dan de pure implementatie van technische oplossingen. Verder moet je natuurlijk voortdurend je omgeving testen, bijvoorbeeld aan de hand van vulnerability scans.