Belang en realisatie van een doordacht beveiligingsbeleidsplan.

Aan bedrijfskritische informatie hangt een prijskaartje. Op het dark net wordt daar fors voor betaald. En komt privacygevoelige informatie op straat te liggen, dan volgen er boetes en is de imagoschade niet te overzien. Toch hebben veel bedrijven hun datasecurity niet op orde. Met behulp van een beveiligingsbeleidsplan bedenk je vooraf hoe je jouw bedrijfskritische data beschermt en hoe de beveiliging geborgd blijft tijdens en na een calamiteit.

Data security heeft twee kanten: de organisatorische en de technische. De technische beveiliging van bedrijfsdata is meestal beter geregeld dan de organisatorische. Dat wil zeggen dat gegevens goed beveiligd zijn tegen datalekken door storingen, hackpogingen of malware, maar minder goed tegen menselijk handelen. Medewerkers hebben bijvoorbeeld te veel of verkeerde gebruikersrechten, waardoor de kans op datalekken toeneemt.

Wat leg je vast in een beveiligingsbeleidsplan?

Naast verkeerde autorisatie, is de Cloud een reden voor betere datasecurity. Veel data en applicaties draaien tegenwoordig in de Cloud, met het gevolg dat gebruikers vanaf elk apparaat toegang hebben tot deze gegevens Dat vraagt om passende security per device, gebruikersgroep en applicatie. Deze regels kun je vastleggen in een beveiligingsbeleidsplan. Daarin bepaal je ook hoe bedrijfsprocessen na een calamiteit weer opgepakt moeten worden, zodat jouw organisatie weer snel aan het werk kan.

Hoe stel je een beveiligingsbeleidsplan op?

Een beveiligingsbeleidsplan begint met het opstellen van een beleid en kaders. Gevolgd door het uitvoeren van een risicoanalyse om te achterhalen welke applicaties en data het onveiligst zijn. Na de analyse bepaal je welke securitymaatregelen, in welke volgorde, genomen moeten worden.

a. Beleid en kaders

Een beveiligingsbeleid werkt alleen als de directie en het management het eens zijn over het gewenste beveiligingsniveau. Ze moeten in het plan vastleggen welke risico’s ze wel of niet accepteren. Daarnaast is het raadzaam hierin op te nemen hoe verantwoordelijkheden worden belegd en welke maatregelen je als organisatie bereid bent te nemen om de beveiliging op te waarderen. Leg ook vast wat wel en geen acceptabel gedrag is van medewerkers.

Richt jouw beleid niet alleen in op de medewerkers op je loonlijst, maar op iedereen die met IT en klantdata van jouw organisatie te maken heeft, van de freelancers tot je ketenpartners. Besmettingsgevaar zit namelijk in een klein hoekje.

Weet je welke gegevens en applicaties je in huis hebt? En wie de eigenaren daarvan zijn en tot welke data zij toegang hebben? Vooral bij een Cloud migratie is dat belangrijk: wie zijn de eigenaren van de data – van de applicaties en de processen? En wie mag met die data aan de gang? Ook vanuit de AVG/GDPR ben je verplicht om dat vast te leggen in goede bewerkersovereenkomsten. Zorg daarom dat alle bedrijven uit jouw supply chain hun datazaakjes goed op orde hebben. Jij kunt wel veilig zijn, maar als anderen dat niet zijn, ben je alsnog de klos.

Een andere tip: stel het beleid niet zelf op, maar schakel daar een gespecialiseerde, externe consultant voor in. Zo verklein je de kans dat je zaken over het hoofd ziet. Bovendien hebben deze consultants alle benodigde kennis en ervaring om het beveiligingsbeleidsplan perfect af te stemmen op jouw situatie. En daar profiteer jij als organisatie van.

b. Risicoanalyse

Prevent

Breng in de eerste plaats jouw IT-infrastructuur in kaart. Alleen dan krijg je echt inzicht in welke data je in huis hebt en wie daar toegang toe heeft. Wat staat, hangt en draait er allemaal in jouw IT-omgeving? Zijn alle componenten up-to-date? Hoe is de gebruikerstoegang geregeld? Welke verouderde (legacy) systemen zijn nog in de lucht en voldoen die nog wel aan de huidige standaarden qua security?

Denk ook aan Bring Your Own Device (BYOD). Doordat medewerkers hun eigen, onbeveiligde devices voor werkdoeleinden gebruiken, zijn bedrijfsgegevens vaak niet goed beveiligd. Het is lastig om deze security goed te regelen. Er zijn immers verschillende soorten mobiele devices, die werken op verschillende besturingssystemen. Begin met in kaart te brengen welke gegevens absoluut niet op straat mogen komen te liggen. Ofwel; welke data zijn het meest cruciaal? Wie heeft daar toegang toe? En welke data mogen als het ware publiekelijk toegankelijk worden? Pas als je een compleet overzicht hebt van de infrastructuur, inclusief alle data en de personen die toegang daartoe hebben, kun je inschatten waar jouw organisaties de grootste risico’s loopt.

Predict

In de tweede plaats moet je weten welke risico’s jouw organisatie loopt. Pas als je de gevaren kent, kun je jouw beveiligingsbeleid daarop afstemmen. Let daarbij op de kans (hoe vaak komt een incident voor?) en op de impact (wat is het gevolg van een incident?). Daarvoor kun je de regel hanteren: risico = kans x impact.

Aanvullend op een risicoanalyse kunje een ethische hackpogingen laten doen. In dat geval probeert een ‘white hat hacker’ beveiligingslekken op te sporen.. Daarbij legt hij zwakke plekken in je beveiliging bloot. Bijvoorbeeld de manier waarop medewerkers met bedrijfsdata omgaan: hoe zit het met het gedrag en bewustzijn van jouw personeel? Door gedragspatronen te analyseren en begrijpen, kun je jouw organisatie ook hier tegen beschermen.

c. Maatregelen

Detect

Een bedrijfspand beveilig je ook niet met alleen een hek. Boeven knippen er een gat in of klimmen eroverheen. Er moet dus een camera zijn die de indringer detecteert, waarna een plan in werking gaat om de ongewenste gast uit het pand te verwijderen. Datzelfde principe geldt voor de IT: zorg dat de security monitoring werkt. Met de juiste security monitoringoplossing kan je het netwerkverkeer in de gaten houden. Zo zie je of er geen hackers aan het werk zijn en of er een cyberaanval plaatsvindt. Een dergelijke aanval stop je niet zo snel, maar je kunt wel tijdig maatregelen nemen. Daarom is het verstandig een plan op de plank te hebben liggen. Is er daadwerkelijk een ongewenste gast, dan treedt het plan direct in werking.

Respond

Als er een cyberaanval plaatsvindt, moet het beveiligingsbeleidsplan dus meteen in werking treden. Hierin staat beschreven hoe de bedrijfsprocessen tijdens en na een calamiteit weer opgepakt dienen te worden. In deze fase is het belangrijk om erachter te komen hoe ernstig de bedreiging is en wat de impact is. Zorg ervoor dat je in het beveiligingsbeleidsplan beschrijft wie verantwoordelijk is voor:

• de identificatie van wie en wat is getroffen;
• de beoordeling van de schade en inventarisatie van de gevolgen;
• het achterhalen van de inhoud en het doel van de bedreiging.

Beschrijf in het plan ook welke stappen de verantwoordelijke personen moeten nemen om zo veel mogelijk informatie te vergaren. Want met deze informatie kun je de juiste maatregelen treffen.

Bedenk ook vooraf hoe je de schade zo veel mogelijk kunt beperken. Daarom is het slim om in het beveiligingsbeleidsplan een stappenplan per dreiging op te nemen. Hierin beschrijf je hoe de bedrijfsprocessen na een calamiteit weer opgepakt moeten worden en hoe jouw klanten weer snel bediend kunnen worden. Alleen dan kun je na een incident direct en effectief optreden. Het doel in deze fase? Een snel herstel van de IT-omgeving en reparatie van eventuele beveiligingsproblemen.

Recover

In deze laatste fase staan analyseren en voorkomen centraal. Ten eerste moet je zorgen dat de IT-omgeving helemaal schoon is. Doorloop nogmaals de ‘predict’- en ‘detect’-fases. Zo controleer je of alle systemen hersteld zijn en of er nog zwakheden zijn. Ten tweede is het belangrijk dat je leert van het incident. Onderzoek en analyseer hoe een cyberaanval heeft kunnen plaatsvinden en welke impact deze heeft gehad op systemen, gegevens en infrastructuur. Daarbij kun je de antwoorden uit de ‘respond’-fase goed gebruiken. Op basis van jouw conclusie, kun je het stappenplan verbeteren om een vergelijkbare aanval in de toekomst een stap voor te zijn.

Bewustwording

Meer dan 70% van alle informatiebeveiligingsincidenten wordt veroorzaakt door menselijk handelen. Een goed beveiligingsbeleid begint daarom bij bewustzijn; weten jouw medewerkers welke gevaren er aan hun gedrag kleven? Daarom is het niet voldoende om alleen maatregelen op te stellen, jouw medewerkers moeten deze ook kennen en toepassen. Besteed daarom veel aandacht aan je beveiligingsbeleidsplan. Stuur het rond via e-mail, plaats het op intranet en herinner je personeel er regelmatig aan. Het is aan te raden ook een security awareness-programma op te zetten, of minimaal een security awareness-workshop te organiseren. Zo zorg je dat het beleid en de maatregelen gaan leven binnen jouw organisatie.

Waarborging

Een beveiligingsbeleidsplan is de eerste stap richting het waarborgen van veilige processen en bedrijfscontinuïteit. Na implementatie moet je de securitymaatregelen beheren, zodat jouw organisatie volgens de regels blijft werken (compliance). Dat kunje doen door periodiek kwaliteitscontroles uit te voeren, bijvoorbeeld in de vorm van audits en penetratietesten (PENtest). Daarbij gebruik je het beveiligingsbeleidsplan als toetsingskader. Naar aanleiding van de resultaten van deze audits en penetratietesten, kun je het beveiligingsbeleid aanscherpen. Zo houd je jouw beveiligingsbeleidsplan up-to-date en de risico’s continu onder controle.

Als laatste wordt geadviseerd om twee vertrouwenspersoon aan te wijzen. Het liefst één met een HR- of P&O-functie, en één ICT-medewerker. Maak deze personen ervoor verantwoordelijk dat jouw beveiligingsbeleid ook daadwerkelijk wordt nageleefd.