Test

Dit is een popup

Q&A: Security Policy

Een beveiligingsbeleid of security policy geeft op een gestructureerde manier weer hoe uw bedrijf zijn waardevolle assets (data, maar ook processen) het best beschermt. Zo’n algemeen beveiligingsbeleid gaat vrij breed. Het omvat zowel de fysieke toegangscontrole over deuren en wie er sleutels krijgt voor welke gebouwen, als het IT-beleid. Wanneer het specifiek gaat over het beschermen van data, heeft men het meestal over information security policy. Deze policy omvat paswoord- en firewallbeleid maar ook: wie toegang krijgt tot welke websites, systemen en processen, op welke manier data worden opgeslagen, wie er op het Wi-Fi-netwerk van het bedrijf mag enzovoort. Vergeet ook nooit het fysieke aspect: als uw belangrijkste server op een onbewaakte, bereikbare plek staat, zijn uw data niet veilig, hoeveel firewalls u ook heeft staan.

Waarom heb ik zo’n uitgebreid beveiligingsbeleid nodig?
Om de haverklap verschijnen in de media berichten over vertrouwelijke informatie die verloren is gegaan of openbaar werd gemaakt. Vooral de toegenomen mobiliteit van data door het gebruik van mobiele dragers zoals USB- sticks, smartphones, tablets en laptops brengt grotere risico"s met zich mee.
En met de toenemende populariteit van thuiswerk en BYOD (bring your own device), is extra beveiliging nog meer aangewezen. Het is voor een bedrijf dan ook van het grootste belang dat het haar visie op beveiliging duidelijk omschrijft, bijvoorbeeld wie toegang heeft tot welke data en welke beveiligingsmaatregelen daarvoor genomen moeten worden. Een goed beleid moet niet alleen regels vastleggen, het moet ook werknemers alert houden en bewust maken van veiligheid. Zij zijn het die eraan moeten denken om niet hun eigen naam als paswoord te gebruiken of het niet op een briefje te schrijven dat ze op hun bureau leggen.

Wat staat er in een goede security policy?
Een beveiligingsbeleid moet in essentie antwoord geven op een aantal concrete vragen: wie is verantwoordelijk voor welk proces, en wie moet dus ingrijpen bij problemen? Welke processen en IT-systemen zijn bedrijfskritiek en mogen nooit uitvallen? Wie mag ze gebruiken? En een resem gelijkaardige vragen.
Verregaande security policies schrijven ook voor op welke manier hardware moet worden aangepakt of vernietigd, zodat de data die erop stonden zeker gewist zijn. Ook zullen ze encryptie- en veiligheidsmaatregelen voor toestellen zoals Blackberry’s en laptops formuleren. Steeds meer bedrijven voegen ook clausules over sociale netwerken zoals Facebook toe aan hun beleid.

Wat is de zwakste schakel?
Bijna zonder uitzondering: uw medewerkers. Zolang zij niet begrijpen dat die virusscanner heel wat meer doet dan de laptop vertragen, gaan ze hem misschien proberen uit te schakelen. En zonder duidelijke communicatie over MP3-spelers, USB"s en digitale camera"s mag het u niet verbazen als iemand op die manier per ongeluk een virus binnensmokkelt. Bijscholing, procedures, communicatie en geregelde (externe) audits leveren soms sneller resultaat op dan de pure implementatie van technische oplossingen.

Hoe komt zo’n policy tot stand?
De eerste stap is om alle betrokken personen in een werkgroep samen te brengen, al dan niet in aanwezigheid van een externe consultant. Meestal bestaat die werkgroep uit een achttal personen: een directielid, de HR-manager, IT-manager, business managers van de verschillende afdelingen, eventueel ook een juridisch verantwoordelijke en uiteraard een afgevaardigde van de gebruikers. Aan de hand van een checklist zoals ISO 27002 worden dan de noden van het hele bedrijf blootgelegd.

Wat met ISO 27002 en 27001?
ISO 27002 is een internationaal erkende standaard die praktische maatregelen op het vlak van informatiebeveiliging formuleert. Het bevat een groot aantal concrete maatregelen en vormt zo een nuttige controlelijst die ervoor zorgt dat uw organisatie geen enkel aspect van IT-beveiliging over het hoofd ziet. U hoeft ISO 27002 niet letterlijk te volgen, en u kunt er zich ook niet in certificeren. Daarvoor werd ISO 27001 in het leven geroepen. Die laatste formuleert eisen voor het implementeren, uitvoeren en controleren van een gedocumenteerd information security management systeem, en voor die standaard kunt u zich wel certificeren.

Een beveiligingsbeleid of security policy geeft op een gestructureerde manier weer hoe uw bedrijf zijn waardevolle assets (data, maar ook processen) het best beschermt. Zo’n algemeen beveiligingsbeleid gaat vrij breed. Het omvat zowel de fysieke toegangscontrole over deuren en wie er sleutels krijgt voor welke gebouwen, als het IT-beleid. Wanneer het specifiek gaat over het beschermen van data, heeft men het meestal over information security policy. Deze policy omvat paswoord- en firewallbeleid maar ook: wie toegang krijgt tot welke websites, systemen en processen, op welke manier data worden opgeslagen, wie er op het Wi-Fi-netwerk van het bedrijf mag enzovoort. Vergeet ook nooit het fysieke aspect: als uw belangrijkste server op een onbewaakte, bereikbare plek staat, zijn uw data niet veilig, hoeveel firewalls u ook heeft staan.

Waarom heb ik zo’n uitgebreid beveiligingsbeleid nodig?
Om de haverklap verschijnen in de media berichten over vertrouwelijke informatie die verloren is gegaan of openbaar werd gemaakt. Vooral de toegenomen mobiliteit van data door het gebruik van mobiele dragers zoals USB- sticks, smartphones, tablets en laptops brengt grotere risico"s met zich mee.
En met de toenemende populariteit van thuiswerk en BYOD (bring your own device), is extra beveiliging nog meer aangewezen. Het is voor een bedrijf dan ook van het grootste belang dat het haar visie op beveiliging duidelijk omschrijft, bijvoorbeeld wie toegang heeft tot welke data en welke beveiligingsmaatregelen daarvoor genomen moeten worden. Een goed beleid moet niet alleen regels vastleggen, het moet ook werknemers alert houden en bewust maken van veiligheid. Zij zijn het die eraan moeten denken om niet hun eigen naam als paswoord te gebruiken of het niet op een briefje te schrijven dat ze op hun bureau leggen.

Wat staat er in een goede security policy?
Een beveiligingsbeleid moet in essentie antwoord geven op een aantal concrete vragen: wie is verantwoordelijk voor welk proces, en wie moet dus ingrijpen bij problemen? Welke processen en IT-systemen zijn bedrijfskritiek en mogen nooit uitvallen? Wie mag ze gebruiken? En een resem gelijkaardige vragen.
Verregaande security policies schrijven ook voor op welke manier hardware moet worden aangepakt of vernietigd, zodat de data die erop stonden zeker gewist zijn. Ook zullen ze encryptie- en veiligheidsmaatregelen voor toestellen zoals Blackberry’s en laptops formuleren. Steeds meer bedrijven voegen ook clausules over sociale netwerken zoals Facebook toe aan hun beleid.

Wat is de zwakste schakel?
Bijna zonder uitzondering: uw medewerkers. Zolang zij niet begrijpen dat die virusscanner heel wat meer doet dan de laptop vertragen, gaan ze hem misschien proberen uit te schakelen. En zonder duidelijke communicatie over MP3-spelers, USB"s en digitale camera"s mag het u niet verbazen als iemand op die manier per ongeluk een virus binnensmokkelt. Bijscholing, procedures, communicatie en geregelde (externe) audits leveren soms sneller resultaat op dan de pure implementatie van technische oplossingen.

Hoe komt zo’n policy tot stand?
De eerste stap is om alle betrokken personen in een werkgroep samen te brengen, al dan niet in aanwezigheid van een externe consultant. Meestal bestaat die werkgroep uit een achttal personen: een directielid, de HR-manager, IT-manager, business managers van de verschillende afdelingen, eventueel ook een juridisch verantwoordelijke en uiteraard een afgevaardigde van de gebruikers. Aan de hand van een checklist zoals ISO 27002 worden dan de noden van het hele bedrijf blootgelegd.

Wat met ISO 27002 en 27001?
ISO 27002 is een internationaal erkende standaard die praktische maatregelen op het vlak van informatiebeveiliging formuleert. Het bevat een groot aantal concrete maatregelen en vormt zo een nuttige controlelijst die ervoor zorgt dat uw organisatie geen enkel aspect van IT-beveiliging over het hoofd ziet. U hoeft ISO 27002 niet letterlijk te volgen, en u kunt er zich ook niet in certificeren. Daarvoor werd ISO 27001 in het leven geroepen. Die laatste formuleert eisen voor het implementeren, uitvoeren en controleren van een gedocumenteerd information security management systeem, en voor die standaard kunt u zich wel certificeren.

beleidbeveiligingcloudsecuritynieuwssecurity policy

Gerelateerde artikelen

Volg ons

ICT Jaarboek 2021-2022 – TechPulse Business

ICT Jaarboek 2021-2022 – TechPulse Business

Bestel nu!