Herrmann logo

actief in kwaliteit

10 tips voor praktische informatiebeveiging

Of het nu gaat om informatie over een nieuw product dat je op de markt brengt, om jaarverslagen van klanten die je verwerkt of om medische onderzoeksresultaten, ook bij uw organisatie zal er vast en zeker informatie verwerkt worden waarvan je liever niet hebt dat dergelijke informatie in verkeerde handen terecht komt. Om te voorkomen dat dit gebeurt is het goed beveiligen van jouw cruciale informatie van belang. Maar hoe doe je dat?

Blijkbaar hebben veel bedrijven hier moeite mee. Zo bleek uit het jaarlijkse rapport over digitale veiligheid dat veel Nederlandse bedrijven hun digitale veiligheid nog steeds niet in orde hebben. Het is zelfs schokkend te constateren dat soms hele elementaire maatregelen zoals software updates niet worden uitgevoerd, waardoor kwaadwillende heel eenvoudig binnen kunnen komen en schade kunnen aanrichten.

Wil jij dit voorkomen, dan is het inzetten van de ISO27001 norm een handig hulpmiddel. Deze norm biedt houvast om ook voor jouw organisatie informatiebeveiliging blijvend op de agenda te krijgen.

Wij geven je hieronder een tiental tips om informatiebeveiliging op een hoger plan te krijgen.

1) Ga na waarom je informatie wil beveiligen

Van belang is allereerst bij jezelf te raden te gaan waarom je eigenlijk informatie wil beveiligen. Wat zijn de gevolgen voor je onderneming als je geen beveiligingsmaatregelen neemt? En welk deel van jouw informatieverwerking betreft het? Oftewel je uitgangspunt en je motivatie.

2) Bedenk goed wat de grootste risico's zijn

Je kan in veel gevallen doorgaan tot je een ons weegt met het bedenken van alle mogelijke risico’s. Houd je uitgangspunt en motivatie vast en bedenk met gezond boeren verstand welke zaken een significante kans maken tot optreden en kunnen leiden tot het uitlekken van informatie. Zorg ervoor dat deze bij wijze van spreken op één hand te tellen zijn en houd deze in je achterhoofd

3) Besef dat gedrag van mensen bepalend is

Niet alles is uit te sluiten door maatregelen. Toegang krijgen tot een systeem kan moeilijk gemaakt worden door de invoering van sterke wachtwoorden. Echter wanneer een medewerker dit wachtwoord op een briefje schrijft en laat rondslingeren is die maatregel een stuk minder zinvol. Uiteindelijk valt of staat het bij het gedrag van je collega’s. Maak daarom iedereen binnen de organisatie bewust van waarom informatiebeveiliging van belang is.

4) Investeer maximaal in mensen

Stop significant veel tijd in het besef en daarmee de betrokkenheid van mensen in de organisatie. Start hier zo snel mogelijk mee. Een goede mogelijkheid daartoe is door samen te bedenken waar risico’s zitten binnen de activiteiten die men uitvoert, door henzelf maatregelen te laten verzinnen, of door simpelweg een voorlichting te geven.

5) Schep duidelijkheid

Maak het concreet voor ieder binnen de onderneming. Als medewerkers geen idee hebben welke zaken zijzelf kunnen uitvoeren en op welke manier, zullen ze al snel de aandacht verliezen. Geef daarom duidelijk aan wat zij in hun dagelijkse werkzaamheden kunnen doen maar ook bij wie zij vragen kunnen stellen. Bijvoorbeeld dat het beeldscherm op zwart moet bij het verlaten van de werkplek en dat het bureau opgeruimd dient te zijn. Maar zorg ook dat deze instructies goed vindbaar zijn voor medewerkers.

6) Categoriseer informatie

Maak een grove inventarisatie welke informatie er verwerkt wordt en maak hierin een onderscheid door categorieën aan te geven. Welke informatie is van belang en gevoelig voor de vastgestelde risico’s? Het mooiste is om ditzelfde te doen voor de informatiedragers die aanwezig zijn zoals laptops, telefoons, servers etc.

7) En focus daarop

Na eenmaal informatie gecategoriseerd te hebben, geeft dit je de mogelijkheid om de boel in te perken. Focus in eerste instantie alleen op de meest cruciale informatiecategorieën en stem je maatregelen daarop af.

8) Start met eenvoudige maatregelen

Er zijn vele maatregelen die je kunt treffen om informatie te beveiligen. Als je niet direct weet welke dit zouden kunnen zijn, dan geeft de ISO27001 norm een overzicht. Maak hier gebruik van. Maar begin niet zomaar alles in te voeren. Bouw het stapje voor stapje op waarbij je begint met een aantal eenvoudige maatregelen.

9) Houd het werkbaar

Vergeet niet dat de maatregelen er zijn om informatie te beveiligen. Het is dus geen doel op zich. Te moeilijke of tijdrovende maatregelen kunnen ertoe leiden dat mensen deze niet meer zullen opvolgen. Ditzelfde geldt voor teveel maatregelen waardoor mensen door de bomen het bos niet meer zien. Probeer daarom aan te sluiten op wat er al is voordat je met nieuwe zaken komt.

10) Blijf oog houden voor het doel van de maatregelen

Een risico is het gevolg maal de kans van optreden. In de basis tref je dus maatregelen om of het gevolg te verkleinen, de kans van optreden te verkleinen of beide. Indien dit niet (meer) het geval is, dan zal de maatregel overbodig zijn. Schaf die meteen af. Dit doet de zaak alleen maar goed.

Meer inspiratie