Waarom goede informatiebeveiliging belangrijk is

Op 25 mei 2018 trad de Algemene Verordening Gegevensbescherming (AVG) in werking en kregen we massaal geüpdatete juridische wetgeving van bijvoorbeeld Facebook of Twitter om opnieuw te ondertekenen. Hiermee lieten bedrijven zien dat ze de aanpassingen hadden doorgevoerd in het beleid volgens de nieuwe privacy wetgeving.

Het gaat over bankgegevens, contacten, adressen, alles wat u op sociale media zet en zelfs uw IP-adres en uw bezochte websites. Organisatie beweren deze data te verzamelen om de klant betere diensten te leveren met gepersonaliseerde advertenties, aantrekkelijke berichten, allemaal voor een betere klantervaring.

Helaas werden die gegevens niet altijd voor hetzelfde doel gebruikt en kwam er een nieuwe Europese privacyregelgeving genaamd de GDPR. Deze wet zorgde ervoor dat de manier waarop bedrijven met klantgegevens omgaan veranderd werd. De verandering werd geïmplementeerd in alle privacy wetten voor alle EU- en EER-landen. Met de nieuwe wet hebben de burgers uit deze landen de controle terug over hun persoonsgegevens en worden de persoonsgegevens overal in Europa gewaarborgd.
Toch is het alweer drie jaar geleden en verschijnen er nog met regelmaat berichten in de media omtrent privacy en informatiebeveiliging die niet goed in orde zijn.
Phishing, malware, ransomware aanvallen en datalekken vliegen u om de oren, er is nog teveel onwetendheid over het onderwerp informatiebeveiliging.

Bij informatiebeveiliging horen drie belangrijkste aspecten: de beschikbaarheid, integriteit en vertrouwelijkheid van informatie.

Wanneer informatie niet meer beschikbaar is vanwege een hacker of inbraak, is er sprake van een datalek. Wanneer informatie geen garantie heeft van actualiteit, juistheid, of volledigheid dan is deze informatie niet integer en is er ook hier sprake van een datalek.

Wanneer informatie niet volledig vertrouwelijk is, omdat medewerkers onbevoegd inzage hebben gehad, of deze is gehackt, is er wederom sprake van een datalek.

Datalekken kunnen dus snel ontstaan in verschillende vormen. Vandaar dat informatiebeveiliging gepaard gaat met risicomanagement.  Want inzicht krijgen in risico’s en waar ze verminderd kunnen worden door maatregelen is noodzakelijk voor het correct beveiligen van informatie.
Er zijn diverse manieren waarom risico’s verminderd kunnen worden. Denk bijvoorbeeld aan screening van nieuw personeel en het opvragen van een Verklaring Omtrent Gedrag (VOG). Maar ook risicobewustwording van personeel door middel van training of periodieke assessments. Hierdoor krijgt u als organisatie duidelijk beeld hoe personeel omgaat en handelt in bepaalde situaties.

Bovendien ligt er ook een belangrijke taak met betrekking tot de rolverdeling van verantwoordelijkheden binnen een organisatie. Voor alle betrokken personen moet er duidelijk zijn wie bepaalde informatie mag inzien en verwerken. Dit moet bewaakt en vastgelegd worden zodat wanneer personeel uit dienst gaat of een nieuwe functie krijgt de rolverdeling aangepast word.

ICT-technisch gaat dit over toegang autorisaties, back-up management, en logging en monitoring.

Het checken, monitoren, maar ook evalueren, van alle vereiste middelen is nodig om zo de informatiebeveiliging doelstellingen te controleren omrent de norm. Afwijkingen dienen geregistreerd te worden en het verbeterpunt krijgt een deadline. Oorzaakanalyses en preventieve acties ondersteunen in het vinden van een oplossing. Hiervan is het belangrijk dat de voortgang wordt gemonitord en onderdeel is van de evaluatie.

Hier zijn 4 dingen die u kunt doen om uw gegevens beter te beschermen:

1. Implementeer multifactorauthenticatie op uw accounts en maak het 99% minder waarschijnlijk dat u wordt gehackt.
2. Update uw software. Zet zelfs automatische updates aan.
3. Denk na voordat u klikt. Meer dan 90% van de succesvolle cyberaanvallen begint met een phishing e-mail.
4. Gebruik sterke wachtwoorden, en idealiter een wachtwoordmanager om unieke wachtwoorden te genereren en op te slaan.

Hulp nodig?

IRM360 helpt graag verder! 

Het CyberManager managementsysteem van IRM360 wordt beschreven als een volledig zelfstandig en snel te implementeren managementsysteem dat volledig aansluit op het ISMS-proces beschreven in de ISO27001. 

CyberManager combineert tevens ISMS met PIMS voor privacy information managemen en bevat al het nodige voor aantoonbare borging en continue verbetering met de PDCA.
De software wordt operationeel in een beveiligde redundante en gecertifieerde omgeving geleverd met rapportages afgestemd op certificering audits.

Tevens bevat de CyberManager geïntegreerde E-learning voor risicobewustwording en audit management, inclusief planning en verbeteracties.

Meer weten over de ISO 27001 of andere certificeringen die voor jouw organisatie interessant zijn?

Of hulp nodig bij implementatie van de normen? We komen graag in contact voor mogelijkheden en informatie!

Mail naar: sales@irm360.nl of vul het contact formulier hier in!