U bent hier: Home / Nieuws / Nieuws / Het belang van gegevensbeveiliging en de implementering ervan

Het belang van gegevensbeveiliging en de implementering ervan

Illustration de l'actualité - cliquer pour agrandir
De bedreigingen voor de veiligheid van informatie-assets binnen een organisatie evolueren voortdurend en de conformiteitseisen (AVG, NIS) worden steeds complexer. Zowel kleine als grote organisaties moeten een uitgebreid beveiligingsprogramma opzetten om aan beide uitdagingen het hoofd te bieden.

Zonder formeel beleid rond informatiebeveiliging kan binnen een organisatie onmogelijk een globaal beveiligingsprogramma worden gecoördineerd noch nageleefd en kunnen de beveiligingsmaatregelen niet aan derden worden meegedeeld.

Informatiebeveiliging, wat is dat?

Kort samengevat is informatiebeveiliging de optelsom van personen, processen en technologieën die binnen een organisatie worden ingezet om de informatie-activa te beschermen.
Het voorkomt ook een niet geautoriseerde openbaarmaking, onderbreking, toegang, gebruik, wijziging, enz.  van deze informatie-activa.
Er bestaan drie principes rond informatiebeveiliging, de zogeheten VIB: vertrouwelijkheid (V), integriteit (I), en beschikbaarheid (B).
Die principes worden als volgt gedefinieerd:

  • Vertrouwelijkheid - bescherming van informatie tegen niet-toegelaten verspreiding
  • Integriteit - bescherming van gegevens tegen niet-toegelaten wijzigingen en het waarborgen van de authenticiteit, de correctheid, de onweerlegbaarheid en de volledigheid van gegevens
  • Beschikbaarheid - de bescherming van gegevens tegen niet-toegelaten vernietiging en de garantie dat de gegevens, indien nodig, toegankelijk zijn

Zonder informatiebeveiliging kunnen de informatie-assets van een organisatie - met inbegrip van de intellectuele eigendomsrechten - gecompromitteerd raken of gestolen worden. Daardoor kunnen het vertrouwen in en zelfs de vrijheden en rechten van burgers én de reputatie van een organisatie in het gedrang komen. Het is belangrijk de VIB-principes in het achterhoofd te houden bij de uitwerking van een beveiligingsbeleid binnen de organisatie.

Hoe informatiebeveiliging implementeren?

Informatiebeveiliging gaat uit van een aantal strategieën voor procesbeheer, beleidslijnen en schriftelijke procedures die bedoeld zijn om informatie los van het van formaat (al dan niet digitaal) of de status (in transit, in behandeling of veilig opgeslagen) te beschermen, en mogelijke bedreigingen te detecteren, te registreren en te voorkomen.

Een informatiebeveiligingsbeleid, wat is dat?

Het informatiebeveiligingsbeleid krijgt vorm via een of meerdere documenten die het engagement van de directie inhouden, doelstellingen definiëren, de organisatorische maatregelen en middelen die zijn ingezet om de veiligheid van gegevens te vrijwaren toe te lichten en de mensen die met informatiegoederen aan de slag gaan te begeleiden.
In het licht van ISO 27001/2 ziet een beveiligingsbeleid er als volgt uit:
Bovenaan de piramide staat de bedrijfsbeleid inzake informatiebeveiliging. Op het tweede niveau vinden we de themagericht beveiligingsbeleid, met specifieke controles met bettrekking tot informatierisico’s. . Op het derde niveau vinden we de bedrijfsnormen voor beveiliging, en ten slotte vinden we aan de voet van de piramide de procedures en richtlijnen, met verklarend en motiverend bewustmakings- en trainingsmateriaal rond beveiliging.

Waarom een informatiebeveiligingsbeleid uitwerken?

Het informatiebeveiligingsbeleid definieert wat er van medewerkers binnen een organisatie op het vlak van beveiliging wordt verwacht. Het informatiebeveiligingsbeleid vertaalt ook het engagement van de directie van een organisatie rond dat essentiële thema.
Het informatiebeveiligingsbeleid omvat richtlijnen waarrond een controlekader kan worden uitgewerkt om de organisatie tegen externe en interne bedreigingen te beschermen. Het informatiebeveiligingsbeleid is een mechanisme dat toelaat om de juridische en ethische verantwoordelijkheden van een organisatie te Het informatiebeveiligingsbeleid is een mechanisme dat individuen wijst op hun verantwoordelijkheid bij het respecteren van de naleving van maatregelen met het oog op informatiebeveiliging.

gearchiveerd onder: Categories: