Robin Beiler – Managing Consultant
Bij informatiebeveiliging binnen de ISO 27001 is het zaak de juiste personen op de juiste momenten toegang te geven tot de juiste middelen en informatie. Vandaag de dag speelt dat rond de toegang tot digitale middelen als systemen en data. Maar het geldt ook voor de fysieke toegang. De toegang tot gebouwen maar met name ruimtes waar (digitale) informatie is opgeslagen.
Door de ontwikkeling van de digitale omgevingen komt diefstal van intellectuele eigendommen of het gijzelen ervan steeds vaker voor. Ook de toename van bijvoorbeeld thuiswerken maakt dat de beveiligingsrisico’s toenemen.
BIV staat voor Beschikbaarheid, Integriteit en Vertrouwelijkheid. Hij zijn de drie pijlers onder informatiebeveiliging.
Het goed organiseren van de toegangsbeveiliging gaat in een aantal stappen:
Tip:
Ken de autorisaties op het niveau van groepen in plaats van individuele personen. Die groepen zijn veelal op basis van de functies binnen de organisatie. Dat maakt het beheer ervan veel eenvoudiger en overzichtelijker. Ook het aanpassen van de autorisaties bij het intern wisselen van functie of bij uit dienst gaan is daarmee eenvoudiger. Ook de rol van HR is hier belangrijk. Zij moeten tijdig de mutaties doorgeven.
Vanuit de ISO 27001 bekeken is het belangrijk om zaken te scheiden. Maak verschillende mensen of functies verantwoordelijk voor het bepalen en inrichten van de autorisaties en anderen verantwoordelijk voor het toekennen ervan. Daarmee minimaliseer je de kans dat bij het toekennen iemand meer toegang krijgt dan nodig.
Over wachtwoorden is veel te doen. Allereerst het kiezen van een veilig wachtwoord. Namen van de kinderen en hun geboortejaar is niet alleen voor de gebruiker makkelijk ook voor de hackers. Ook het opslaan van wachtwoorden is iets om een besluit over te nemen. Password managers zijn handige tools hierbij. Niet in de laatste plaats de multi-factor wachtwoorden. Die tillen de beveiliging in één keer naar een hoger niveau. We hebben een tijdje geleden een blog geschreven over wachtwoorden.
Er ligt ook steeds meer data buiten de organisatie. Bijvoorbeeld bij Cloudleveranciers. Het voert te ver dat u ook voor hen een autorisatiematrix gaat opstellen. Nog even los van het feit of dat kan omdat u geen goed beeld heeft van hun organisatie.
Het maken van goede afspraken lost dat grotendeels op. Eventueel aangevuld met de voorwaarde dat de leverancier ISO 27001 of NEN 7510 gecertificeerd is. U kunt nog een stap verder gaan en zelf een screening of audit uitvoeren om zelf een beeld te krijgen van de manier waarop zijn met de veiligheid van uw informatie omgaan.
Bij de fysieke beveiliging gaat het om het beveiligen van het pand en de middelen tegen ‘dreigingen’ van buiten af. Dat is een ruim begrip want dat kan gaan over weersinvloeden, brand maar ook inbraak. Wat daar ook onder valt is toegang van onbevoegden tot (delen van) het pand. Bezoekers maar ook eigen medewerkers.
Ook hier is de stelregel van toepassing: alleen toegang geven tot die ruimtes waarvoor dat nodig is. Deel het gebouw op in zones en bepaal welke functiegroepen daar toegang toe hebben. Maak ook van de bezoekers een functiegroep. Het gebruik van functiegroepen maakt ook hier het beheer overzichtelijk en eenvoudig.
Wat belangrijk en essentieel is bepaalt u aan de hand van de risico-inventarisatie, het categoriseren ervan met behulp van de kans en impact en vervolgens het bepalen van de juiste maatregelen om ze te minimaliseren.
De norm vraagt ook om richtlijnen te bepalen over het ‘omgaan’ met kostbare en voor de continuïteit essentiële zaken. Dat kan variëren van laptops en telefoons tot de fysieke beveiliging van de stroomvoorziening en het internet.
Voor de ISO 27001 is het belangrijk dat u alle keuzes en beslissingen rond het bovenstaande vastlegt in helder beleid. Welke risico’s ziet u? Welke maatregelen en oplossingen neemt u als antwoord daarop? Inclusief de wijze waarop u de autorisaties en verantwoordelijkheden organiseert. Maar ook keuzes en afspraken met betrekking tot het versleuteld opslaan en delen van data is wat in een beleid thuishoort.
Inhoudelijk heeft ISO 27001 geen mening. De norm geeft u geen tips of handvatten over de inhoudelijke kant van de oplossingen. Wel zegt de norm dat de oplossing logisch en afdoende moet zijn in relatie tot het risico.
Wat de norm belangrijk vindt is dat er goed gekeken is naar de situaties en de risico’s. Zijn die in kaart gebracht en zijn er passende keuzes zijn gemaakt. Keuzes die zijn vastgelegd in beleid. Beleid dat vervolgens is uitgerold binnen de organisatie en wat in de praktijk ook wordt opgevolgd. Een regelmatige audit helpt u om dat aan te tonen.
Blog geschreven door Robin Beiler, Managing consultant