Naar aanleiding van ons gratis Business Meets IT-seminarie over security van 26 februari (//www.businessmeetsit.be) brengen wij een kleine snelcursus over het onderwerp. Dit is de tweede aflevering over de security policy. 1. Wat houdt een security policy in? Een security policy geeft op een gestructureerde manier weer hoe uw bedrijf zijn waardevolle activa (data, maar […]

Advertentie

Naar aanleiding van ons gratis Business Meets IT-seminarie over security van 26 februari (//www.businessmeetsit.be) brengen wij een kleine snelcursus over het onderwerp. Dit is de tweede aflevering over de security policy.

1. Wat houdt een security policy in?

Een security policy geeft op een gestructureerde manier weer hoe uw bedrijf zijn waardevolle activa (data, maar ook processen) het best beschermt. Zo’n algemeen beveiligingsbeleid gaat breed. Het omvat zowel de fysieke toegangscontrole, als het IT-beleid. Wanneer het specifiek gaat over het beschermen van data, heeft men het meestal over information security policy.

2. Wat houdt een information security policy in?

Deze policy omvat paswoord- en firewallbeleid maar ook: wie toegang krijgt tot welke websites, systemen en processen, op welke manier data worden opgeslagen, wie er op het Wi-Fi-netwerk van het bedrijf mag enzovoort. Vergeet ook nooit het fysieke aspect, zoals wie heeft er toegang tot uw datacenter?

3. Waarom is zo’n uitgebreid beveiligingsbeleid vandaag erg actueel?

Vooral de toegenomen mobiliteit van data brengt grotere risico"s met zich mee. En met de toenemende populariteit van thuiswerk en BYOD (bring your own device), is extra beveiliging nog meer aangewezen. Het is voor een bedrijf van het grootste belang dat het haar visie op beveiliging duidelijk omschrijft, bijvoorbeeld wie toegang heeft tot welke data en welke beveiligingsmaatregelen daarvoor genomen moeten worden.

4. Wat staat er in een goede security policy?

Een beveiligingsbeleid moet antwoord geven op een aantal concrete vragen: wie is verantwoordelijk voor welk proces, en wie moet dus ingrijpen bij problemen? Welke processen en IT-systemen zijn bedrijfskritiek en mogen nooit uitvallen? Wie mag ze gebruiken? En een resem gelijkaardige vragen.

Steeds meer bedrijven voegen ook clausules over (eigen) mobiele toestellen en sociale netwerken zoals Facebook toe aan hun beleid. Verregaande security policies schrijven ook voor op welke manier hardware moet worden versleuteld of vernietigd, zodat de data die erop stonden zeker gewist zijn.

5. Hoe komt zo’n policy tot stand?

De eerste stap is om alle betrokken personen in een werkgroep samen te brengen, al dan niet in aanwezigheid van een externe consultant. Meestal bestaat die werkgroep uit: een directielid, de HR-manager, IT-manager, business managers van de verschillende afdelingen, eventueel ook een juridisch verantwoordelijke en uiteraard een afgevaardigde van de gebruikers. Aan de hand van een checklist zoals ISO 27002 worden dan de noden van het hele bedrijf blootgelegd.

6. Wat met ISO 27002 en 27001?

ISO 27002 is een internationaal erkende standaard die praktische maatregelen op het vlak van informatiebeveiliging formuleert. Het bevat een groot aantal concrete maatregelen en vormt zo een nuttige controlelijst die ervoor zorgt dat uw organisatie geen enkel aspect van IT-beveiliging over het hoofd ziet.

U hoeft ISO 27002 niet letterlijk te volgen, en u kunt er zich ook niet in certificeren. Daarvoor werd ISO 27001 in het leven geroepen. Die laatste formuleert eisen voor het implementeren, uitvoeren en controleren van een gedocumenteerd information security management systeem, en voor die standaard kunt u zich wel certificeren.

Meer weten over security? Op 26 februari (in de namiddag) organiseert Business Meets IT een gratis seminar rond dit onderwerp met als titel: "Security – Meet The Experts". Iedereen welkom.

Advertentie