Blog: hoeveel is uw data waard? Risicoanalyse geeft antwoord.

ICT Spirit - Blog: hoeveel is uw data waard? Risicoanalyse geeft antwoord.

Vroeger was waarde eenvoudig te herkennen en beschermen

Vroeger bouwden de mensen een kasteel en zetten rond dit kasteel een grote muur. Om alles en iedereen binnen het kasteel extra te beschermen werd rond de grote muur een diepe gracht gegraven en de toegang tot het kasteel en de zaken van waarde werden geregeld via een ophaalbrug. Het resultaat was: alles met waarde is veilig.

Tegenwoordig zit waarde in informatie

De waarde van organisaties zit anno nu veelal in informatie en deze informatie is opgeslagen op informatiedragers binnen en buiten de eigen organisatie. Maar informatie zit ook in mensen. De toegang loopt via diverse verbindingen en het overzicht is al snel verdwenen.

Informatiebeveiliging

Wanneer deze informatie op welke wijze dan ook toegankelijk is voor derden, dan is het mogelijk dat het wordt gestolen, veranderd of verwijderd. Dit noemen we een informatielek. Als de informatie persoonsgegevens bevat, dan is sprake van een datalek. Organisaties en bestuurders van organisaties zijn verantwoordelijk voor de beveiliging van persoonsgegevens en zijn verplicht om een datalek te melden aan de Autoriteit Persoonsgegevens.

Detectie en preventie

In de dagelijkse praktijk kom ik in mijn rol als security coördinator van ICT Spirit veel klanten tegen die zich niet bewust zijn van deze risico’s. Vaak vragen klanten: “Hoe kan ik weten of wij data lekken?” Dit is uiteraard een goede vraag.
Het opsporen van datalekken is een complexe aangelegenheid. Uiteraard zijn er ICT-middelen (ook wel aangeduid als tooling) beschikbaar die datalekken kunnen opsporen, maar 100% afdoende is dit nooit. Met tooling alleen lossen we dit probleem op dit moment nog niet op! Organisaties beveel ik aan om te onderzoeken of tooling in de vorm van Security Information and Event Management (SIEM) software een mogelijkheid is om lekken op te sporen én te stoppen.
Datalekken gaat echter niet alleen over techniek. Een heel belangrijke factor zijn mensen en het bewustzijn van deze mensen om veilig om te gaan met informatie, ook wel awareness genoemd.

Risicoanalyse: risico’s bepalen en vastleggen

Mijn advies is ook om te bepalen welke risico’s de organisatie loopt. Samen met klanten verricht ik een risicoanalyse, waarin we de risico’s vastleggen en bepalen hoe hoog deze zijn. De waarden van de risico’s bepalen of een organisatie al dan niet, gepland of direct maatregelen moet treffen.

Maatregelen nemen

Wanneer uit de risicoanalyse blijkt dat risico’s een niet acceptabele waarde hebben, dan worden aanvullende maatregelen voorgesteld die ervoor zorgen dat risico’s gereduceerd worden. Uiteindelijk bepaalt de directie of risico reducerende projecten wel of niet worden opgepakt.

Welke hulp bied ik aan onze klanten in dit proces

Niet alleen voer ik met klanten risicoanalyses uit, we kijken ook samen naar bedrijfsprocessen en de mogelijke verbetering daarvan als het gaat om informatiebeveiliging. Vanuit mijn expertise als lead auditor ISO27001 is het mogelijk klanten te ondersteunen bij het opstellen van informatiebeveiligingsbeleid samen met onze externe experts.

Wij helpen u graag bij dit proces

Heeft u vragen? Wilt u eens in gesprek gaan over dit onderwerp? Bel Mariëtte Waanders of Jan Swaters voor een afspraak.


Auteur: Mariëtte Waanders, Kwaliteit en security coördinator / Lead auditor ISO27001

Risicoanalyse door Mariëtte Waanders_Kwaliteit en security coördinator Lead auditor ISO27001