Informatiebeveiliging
Informatie vormt het zenuwstelsel van organisaties. Het wordt gebruikt om gegevens op te slaan, transacties vast te leggen, berekeningen uit te voeren en ondernemingen te ondersteunen. Zonder informatiesystemen zouden de meeste organisaties niet meer kunnen functioneren. Echter, blijkt juist deze informatiesystemen de meest kwetsbare systemen van een organisatie te zijn.
Informatiebeveiliging is het geheel van maatregelen die organisaties kunnen inzetten om hun kostbare informatie te beschermen tegen crimineel of verkeerd gebruik. Het gaat hierbij om alle informatie die een organisatie verwerkt, zowel digitaal als analoog. Het doel van informatiebeveiliging kan worden teruggebracht naar de volgende drie aspecten, ook wel de BIV-driehoek genoemd:
1 Beschikbaarheid: Beschikbaarheid waarborgt de mogelijkheid dat geautoriseerde gebruikers op de juiste momenten toegang hebben tot informatie en/of informatiesystemen;
2 Integriteit: Integriteit waarborgt de juistheid, tijdigheid en volledigheid van informatie;
3 Vertrouwelijkheid: Vertrouwelijkheid waarborgt dat informatie alleen toegankelijk is voor degene die hiertoe zijn geautoriseerd.
Informatiebeveiliging versus Cyber security
Tussen de begrippen “informatiebeveiliging” en“cyber security” bestaat bij veel mensen verwarring. Dit wordt namelijk vaak in de verkeerde context gebruikt. Ook wordt het vaak vergeleken met informatiebeveiliging, wat niet juist is. Cyber security is namelijk alleen het deel van de informatiebeveiliging dat draait om de bescherming tegen aanvallen via het internet. Cybersecurity is dus onderdeel van het grotere informatiebeveiliging, maar speelt hierin wel een prominente rol. Veel organisaties zijn namelijk het meest kwetsbaar op dit gebied, dus valt er hier dan ook veel te halen voor cybercriminelen.
Bewustwording is essentieel
Veel organisaties hebben geen zicht op hun informatiebeveiliging. Dit is een groot risico omdat de weerbaarheid tegen cybercriminaliteit op deze manier stagneert, terwijl de cybercriminelen wél voortgang maken. Een veelbesproken uitspraak is dat ondernemers denken dat zij niet interessant zijn voor cybercriminelen, of dat ze denken dat het toch altijd bij een ander gebeurt. Er wordt door organisaties te weinig nagedacht waarom hun data interessant zou kunnen zijn voor cybercriminelen. Tegelijkertijd worden de aanvallen op informatiesystemen steeds geavanceerder. Georganiseerde criminaliteit, hacktivisten, private organisaties en zelfs staten zijn de aanvallers van nu. Aangezien Nederland een van de meest ICT-intensieve economieën ter wereld heeft, vormen de Nederlandse bedrijven een aantrekkelijk doelwit. Nederland staat met betrekking tot ransomware aanvallen dan ook op de tweede plek ter wereld. Wanneer het over alle typen aanvallen gaat staat Nederland op de zesde plek.
Meerwaarde informatiebeveiliging
Informatiebeveiliging, niks doen is geen optie. Elke organisatie heeft informatie dat beschermt dient te worden. Het grootste voordeel van een goede informatiebeveiliging is logischerwijs dat al deze belangrijke informatie goed beschermd blijft.
- Lagere kans op beveiligingsincidenten
Om het belang van goede informatiebeveiliging te illustreren wordt er gekeken naar een recent praktijkvoorbeeld.
Begin 2020 kreeg de Universiteit Maastricht te maken met ransomware. Hierbij werden de back-ups van de universiteit ontoegankelijk gemaakt, waardoor veel bestanden niet meer konden worden teruggezet. Ingevolge heeft de Universiteit €200.000.- betaalt aan de hackers om de bestanden weer vrij te krijgen. Na enig onderzoek heeft de inspectie geconcludeerd dat de universiteit niet goed voorbereid was op de ransomware-aanval. Zo waren en een aantal zwakheden in de it-infrastructuur geconstateerd en was er niet het bewustzijn voor mogelijke cyberaanvallen.
Hieruit blijkt dat een opstapeling van zwakheden in de informatiebeveiliging een vergrote kans heeft op incidenten. Uiteraard kunnen incidenten nooit helemaal worden voorkomen, maar een goede informatiebeveiliging reduceert de kans op een incident aanzienlijk.
- Voldoen aan wet en regelgeving
Een andere belangrijke reden om informatiebeveiliging hoog op de agenda te hebben staan is de wet- en regelgeving. De autoriteit persoonsgegevens (AP), de Nederlandse gegevensbeschermings autoriteit die toezicht houdt op het naleven van de AVG, kan bij het niet naleven van de wet boetes uitdelen tot €20.000.000,- of 4% van de wereldwijde omzet.
Ook al komen zulke bedragen niet vaak voor, worden er met regelmaat boetes uitgedeeld. Zo kreeg een organisatie een boetevan €725.000,- opgelegd wegens de onrechtmatige verwerking van vingerafdrukken van haar werknemers voor afwezigheids- en tijdsregistratie. Naast dat dit financiële consequenties kan hebben is dit uiteraard niet goed voor het bedrijfsimago.
- Commerciële kansen
Informatiebeveiliging wordt steeds belangrijker. Veel organisaties stellen steeds hogere eisen aan de omgang met hun gegevens. Met een goede informatiebeveiliging, en al helemaal met een certificering, geef je de klanten zekerheid dat je zorgvuldig omgaat met vertrouwelijke en bedrijfsgevoelige gegevens. Potentiële klanten zullen eerder meteen organisatie in zee gaan als ze weten dat hun gegevens hier zorgvuldig worden behandeld. Dit versterkt het bedrijfsimago en onderscheidt het bedrijf van concurrenten.
Naast dat een goede informatiebeveiliging veel vertrouwen aan externe organisaties geeft, zorgt het ook voor intern vertrouwen. Medewerkers kunnen er van uitgaan dat hun vertrouwelijke gegevens goed beschermd zijn.
- Verbetering van interne processen
Organisaties waar de informatiebeveiliging goed op orde is, hebben vaak een beter inzicht in hun interne processen. Bij een goede informatiebeveiliging beschrijf je als organisatie de procedures en processen die zich allemaal afspelen binnen de organisatie. Als deze processen en procedures eenmaal in kaart zijn gebracht, is dit een goede gelegenheid om als organisatie kritisch na te denken over de wijze waarop ze hun organisatie hebben ingericht. Dit traject zorgt dan vaak ook voor geoptimaliseerde processen.
- Beter voorkomen dan genezen
Omdat organisaties steeds meer digitaliseren, komt er steeds meer kostbare informatie online te staan. Het gevolg hiervan is dat er steeds meer te halen valt voor cybercriminelen. De schade van een eventueel beveiligingsincident neemt zo alleen maar toe. In 2019 lag het gemiddelde totale schadebedrag op €304.500.-. Zolang organisaties steeds meer digitaliseren zou dit bedrag alleen maar toenemen. Ook de kans op een beveiligingsincident wordt met de tijd alleen maar hoger. Ten tijde van de onrust die is ontstaan door de coronacrisis, is het aantal cyberaanvallen zelf gestegen met 30% ten opzichte van vorig jaar. Het is vaak niet de vraag óf je te maken gaat krijgen met een beveiligingsincident, maar wannéér je te maken krijgt met een beveiligingsincident.