100% informatieveilig bestaat niet. Er kunnen nog zo veel protocollen worden opgesteld en beveiligingsmaatregelen worden toegepast, écht secure bent u helaas nooit. Van uw eigen (oud-) medewerkers tot concurrenten of hackers. Uw informatie is waardevol, ook voor derden. U kunt niet alle risico’s mitigeren, maar u kunt zich wel zo goed mogelijk wapenen tegen beveiligingsincidenten. Door van te voren risico’s te identificeren en de respons hierop alvast voor te bereiden kunnen organisaties effectiever handelen in het geval dat een incident zich voordoet. Maar ook, door structurele controles uit te voeren behoudt de CISO/FG de regie en worden incidenten sneller gesignaleerd.
Wanneer u nadenkt over de mogelijke beveiligingsincidenten begint het waarschijnlijk te duizelen. Geïnfecteerde USB-sticks, een gekraakt wachtwoord, doorgespeelde inloggegevens, inbrekers of misschien wel een storing bij uw netbeheerder. Want ja, ook tijdelijke onbeschikbaarheid van informatie moet u zien als een beveiligingsincident. De drie pijlers van informatiebeveiliging zijn immers beschikbaarheid, integriteit en vertrouwelijkheid. Door het opstellen van protocollen en incident response-acties omtrent wachtwoordbeheer, gebruik van USB-sticks, installatie van software, bezoekersbeleid en inbraakbeveiliging neemt u alvast een deel van de regie in handen. Door daarnaast goede contracten op te stellen met werknemers en leveranciers kunt u ook vanuit deze hoek risico’s afdekken.
Interne controle
Door een structurele controle van logging en andere aanpassingen in informatiesystemen kunt u abnormale situaties sneller herkennen. Denk bijvoorbeeld aan de trend in wachtwoordwijzigingen. Over het algemeen kennen organisaties twee pieken in het jaar waarop werknemers wachtwoorden veranderen: na de zomervakantie en na de kerstvakantie. Want, velen zijn er even uit geweest en zijn de wachtwoorden simpelweg vergeten. Ziet u opeens op een ander moment in het jaar een piek in wachtwoordherstelaanvragen? Dan zou dit een reden voor een onderzoek kunnen zijn. Is er opeens helemaal geen piek meer? Dan wordt het misschien tijd om de post-itjes onder de toetsenborden nog eens te controleren. Inzicht in logging kan ook helpen in het opsporen van informatiebeveiligingsincidenten. Denk bijvoorbeeld aan een Haags ziekenhuis, waar allerlei niet direct betrokken medewerkers het patiëntendossier van een bekende Nederlander inzagen. Wanneer u in staat bent dit soort incidenten te signaleren kunt u ook sneller passende maatregelen nemen.
Responsstrategie
Hoe goed uw voorbereidingen ook zijn, 100% informatieveilig bestaat niet. Daarom is het belangrijk een goede responsstrategie op te zetten. De BIO, de nieuwe informatiebeveiligingsbaseline voor de Nederlandse overheid, zet een incident response-actie uiteen in de volgende stappen:
- Identificatie
- Schade indamming
- Remediatie en herstel
- Kennisgeving aan betrokkenen
- Rapportage en evaluatie
Bij stap 4 is het ook belangrijk om, in het kader van de AVG, te bekijken of er schending van privacyrechten hebben plaatsgevonden. Zo nodig moet u ook de Autoriteit Persoonsgegevens (AP) en de gedupeerde betrokkenen informeren.
Lees hier ons eerdere artikel over datalekken
Een belangrijke stap die vaak nog te weinig aandacht krijgt is stap 5: rapportage en evaluatie. Het vinden en dichten van gaten in de informatiebeveiliging draagt bij aan de continue verbetercyclus van een organisatie (het is de ‘Act’ in de plan-do-check-act cyclus). Incidenten zijn belangrijke leermomenten die bijdragen aan verbeterd functioneren in de toekomst.
In de diverse richtlijnen voor informatiebeveiliging worden handvatten voor incident-management en incident response management aangeboden. Onze adviseurs helpen u graag met een analyse van risico’s voor uw organisatie en de opzet van een risico management strategie voor uw informatiebeveiliging. Voor een verhelderend gesprek met een van onze consultants kunt u mailen naar koffie@audittrail.nl of bellen naar 071-7471717.