Het gebruik van informatiesystemen faciliteert de informatievoorziening en ondersteunt belangrijke processen. Bij de selectie en aanschaf van nieuwe informatiesystemen, maar ook bij grote wijzigingen in de al aanwezige systemen wilt u waarborgen dat informatiebeveiliging integraal deel uitmaakt van informatiesystemen. Het is dan ook belangrijk dit goed te onderzoeken. Dit kan door een expliciete risicoafweging uit te voeren ten behoeve van het vaststellen van de beveiligingseisen. Hiervoor kunnen de richtlijnen van de ISO27002/BIC/BIO gebruikt worden. Het NCSC waarschuwt al jaren voor de toenemende afhankelijkheid en complexiteit van de informatiesystemen. We kunnen eenvoudigweg niet meer zonder. Daarom hebben we een aantal aandachtspunten in dit artikel.
Aanschaf en Leveranciers
Informatiesystemen worden vaak ontwikkeld door gespecialiseerde leveranciers. Wanneer een nieuw informatiesysteem wordt geselecteerd en geïmplementeerd is het belangrijk eisen aan maatregelen ten behoeve van privacy en informatiebeveiliging te stellen. Is het systeem opgezet aan de hand van een best practice waar privacy en informatiebeveiliging onderdeel van uitmaken? Is er gedacht aan privacy/security by design en by default? Privacy en security by design zit bij leveranciers bijvoorbeeld in het scheiden van omgevingen (kan organisatie A niet per ongeluk bij gegevens van B?) en de mogelijkheden voor autorisaties/functiescheiding. Privacy by default vinden we bijvoorbeeld in veldensets: waarom zou een CRM opties inbouwen voor bijzondere persoonsgegevens zoals geloof of ras? En is er een optie om bewaartermijnen aan te geven?
Aangezien de meeste informatiesystemen in de Cloud werken, kunnen leveranciers in de praktijk ook bij de persoonsgegevens die hierin worden verwerkt. Daarom is het belangrijk een verwerkingsovereenkomst op te stellen waar passende technische en organisatorische beveiligingsmaatregelen in zijn opgenomen. Ook kan hier een certificeringsvoorwaarde (ISO 27001 of ISAE 3402) in worden opgenomen. Wat staat in de contracten en SLA met betrekking tot medewerkers, onderaannemers, ontwikkelbedrijven buiten de EU of EER. Je wilt ontzorgd worden en daarvoor sluit je contracten af met je leveranciers. Contractmanagement wordt hierbij al belangrijker. Welke KPI’s spreek je met elkaar af en controleer je deze als afnemer?
Ontwikkeling
Naast bepaalde eisen aan de aanschaf van informatiesystemen heeft het onderhoud en de ontwikkeling van deze systemen ook een belangrijke rol in informatiebeveiliging. Updates kunnen belangrijke ‘gaten’ in de beveiliging dichten en er worden doorlopend nieuwe beveiligingsmaatregelen en -certificaten ontwikkeld. Het is belangrijk op de hoogte te blijven van de laatste ontwikkelingen op dit gebied en de nodige updates door te voeren. Zoals eerder al benoemd kunnen informatiesystemen worden doorontwikkeld, bijvoorbeeld door toevoeging van bepaalde functionaliteiten die invloed kunnen hebben op de processen. Vóór in gebruik name in een productieomgeving zal moeten worden onderzocht wat de impact is van deze wijzigingen. Het kan zijn dat er dan nogmaals een Data Protection Impact Assessment (DPIA) uitgevoerd moet worden.
Het gebruik van informatiesystemen brengt een hoop voordelen met zich mee. Maar, alle risico’s moeten serieus overwogen worden. Ook het onderhoud en de ontwikkeling van informatiesystemen spelen belangrijke rollen in het beveiligen van informatie. Informeer daarom bij het uitkiezen van een nieuw systeem vooral naar de beveiligingsopties die in de opzet van het systeem zijn verwerkt en de mogelijkheden voor aanvullende beveiligingsmaatregelen. Zijn er ambities voor doorontwikkeling? Immers, wanneer een fabrikant beveiliging niet meeneemt in de opzet van het systeem zou dit al de nodige waarschuwingssignalen moeten afgeven.
Audittrail adviseert al jaren haar opdrachtgevers over het aanschaffen en implementeren van informatiesystemen, waarbij IT-risk, security- en privacy by design, het uitvoeren van DPIA’s, reviews van contracten en SLA’s belangrijke onderdelen zijn. Ook hebben wij ruime ervaring met het uitvoeren van post-implementatie audits en IT-audits. Weten hoe Audittrail u verder kan helpen? Neem contact op!