Q&A security: Beveiligingsbeleid
1. Wat is een beveiligingsbeleid?
Een beveiligingsbeleid of security policy geeft op een gestructureerde manier weer hoe uw bedrijf zijn waardevolle assets (data, maar ook processen) het best beschermt.
In een algemeen beveiligingsbeleid zitten zowel de fysieke toegangscontrole over deuren en wie er sleutels krijgt voor welke gebouwen, als het beleid over de IT. Wanneer het specifiek gaat over het beschermen van data, heeft men het meestal over information security policy. Zo’n information security policy omvat paswoord- en firewallbeleid en schrijft onder meer voor wie toegang krijgt tot welke systemen en processen, op welke manier data worden opgeslagen, wie er op het wifi-netwerk van het bedrijf mag enzovoort. Al mag u het fysieke aspect nooit vergeten: als uw belangrijkste server op een onbewaakte, bereikbare plek staat, zijn uw data niet veilig, hoeveel firewalls u ook gebruikt.
2. Waarom heb ik een information securitybeleid nodig?
Om de haverklap verschijnen in de media berichten over vertrouwelijke informatie die verloren is gegaan of openbaar werd gemaakt. Vooral de toegenomen mobiliteit van data door middel van mobiele dragers zoals USB memory sticks, smartphones en laptops brengt grotere risico’s met zich mee. Ook telewerken, van thuis uit of in een satellietkantoor, vraagt om extra beveiliging. Het is voor een bedrijf dan ook van het grootste belang dat het zijn visie op beveiliging duidelijk omschrijft, bijvoorbeeld wie toegang heeft tot welke data en welke beveiligingsmaatregelen daarvoor genomen moeten worden. Een goed beleid moet, naast het vastleggen van de regels, ook de werknemers bewustmaken van veiligheid. Zij zijn het die eraan moeten denken om niet hun eigen naam als paswoord te gebruiken, of het niet op een briefje te schrijven dat ze op hun bureau leggen.
3. Wat staat er in een goed beveiligingsbeleid?
Een beveiligingsbeleid moet in essentie antwoord geven op een aantal concrete vragen, zoals wie er verantwoordelijk is voor welk proces, en wie er dus moet ingrijpen bij problemen. Welke processen en IT-systemen zijn kritisch en mogen dus nooit uitvallen, wie mag ze gebruiken enzovoort.
Specifiek voor IT stipuleren verregaande security policies ook op welke manier hardware moet worden vernietigd, zodat de data die erop stonden zeker gewist zijn. Ook zullen ze encryptie- en veiligheidsmaatregelen voor toestellen zoals Blackberries en laptops formuleren.
Nieuw is dat steeds meer bedrijven clausules over sociale netwerken zoals Facebook aan hun beleid toevoegen, of ze op firewallniveau blokkeren. Dat laatste gebeurt vooral om redenen van productiviteit, maar ook om het bedrijf tegen informatielekken te beschermen.
4. Hoe komt mijn bedrijf tot zo’n policy?
De eerste stap is om alle betrokken personen in een werkgroep samen te brengen, al dan niet in aanwezigheid van een externe consultant. Meestal bestaat die werkgroep uit een achttal personen: een directielid, de HR-manager, IT-manager, business managers van de verschillende afdelingen, eventueel ook een juridisch verantwoordelijke en uiteraard een afgevaardigde van de gebruikers. Aan de hand van een checklist zoals ISO 27002 worden dan de noden van het hele bedrijf blootgelegd.
5. Waarvoor staat ISO 27002?
ISO 27002 is een internationaal erkende standaard die praktische maatregelen op het vlak van informatiebeveiliging formuleert. Het bevat een groot aantal concrete maatregelen en vormt zo een nuttige controlelijst die ervoor zorgt dat uw organisatie geen enkel aspect van IT-beveiliging over het hoofd ziet. U hoeft ISO 27002 niet letterlijk te volgen, en u kunt er zich ook niet in certificeren. Daarvoor werd ISO 27001 in het leven geroepen. Die laatste formuleert eisen voor het implementeren, uitvoeren en controleren van een gedocumenteerd information security managementsysteem, en voor die standaard kunt u zich wel certificeren.
