GDPR

Hoe een informatiebeveiligingsplan opmaken?

Om een informatiebeveiligingsplan op te maken moet er een document opgemaakt worden waarbij duidelijk wordt welke beschermingsmaatregelen er moeten genomen worden op het gebied van IT die gebruikt wordt in een organisatie.

Eens dat er een overzicht is over deze beschermingsmaatregelen betreffende de IT-infrastructuur, beginnen wij stap voor stap met de volgende punten;

  • Identificeer de mensen die belangen hebben in uw organisatie.

    Welke mensen zijn er betrokken bij het opgestelde beveiligingsplan zoals de IT’er of deze nu intern of extern werkt of de IT-manager. Bepaal ook de rol die ze hebben in het beveiligingsplan zodat men weet wie welke bevoegdheid heeft. Identificeer de mensen die betrokken zijn bij uw beveiligingsplan. Bepaal zeker ook de verantwoordelijke in het geval zich een incident voordoet.

  • Bepaal wat er moet beveiligd worden.

    Om te bepalen wat er juist moet beveiligd worden moet er een lijst worden opgemaakt van waar de data wordt bewaard, welke netwerken er in gebruik zijn en welke servers er actief zijn. Als deze lijst volledig is kunnen we bepalen welke de belangrijkste gegevens zijn. Deze gegevens kunnen zich bevinden op een server, in de cloud en ook bijvoorbeeld op een ERP-of CRM systeem of het kan ook op een e-mailserver zijn.

    Er moet uiterst aandacht geschonken worden aan “bijzondere persoonsgegevens” zoals data van patiënten of financiële data.

  • Welke systemen van beveiliging toepassen?

    Hier gaan wij na of de apparatuur van beveiliging die door de organisatie in gebruik is, voldoende is om een optimale beveiliging te garanderen. Hier komt het informatiebeveiligingsplan tot stand. Onder informatiebeveiliging of cybersecurity verstaan wij apparatuur zoals anti malwaretoepassingen, hoe er back-ups worden gemaakt, welke soort firewall er gebruikt wordt en of wij gebruik maken van VPN-verbindingen. 

  • Maatregelen nemen om beveiligingsinbreuken te herkennen.

    Om inbreuken vast te kunnen stellen moeten er ook maatregelen genomen worden voor het herkennen van een gevaar of een poging tot hacking. Je kan op verschillende manieren je netwerk bewaken of software installeren die automatisch waarschuwingen uitstuurt bij onregelmatigheden zoals detectie van DOS-aanvallen, pogingen tot phishing, inloggegevens herkennen die gecompromitteerd werden of brute-force-attacks herkennen..

  • Bepaal optimale werkmethoden.

    De meeste fouten kunnen voorkomen worden door een goede bewustmaking van het intern personeel want een datalek hoeft niet steeds via de IT-infrastructuur te komen want menselijke fouten kunnen nu eenmaal gebeuren. Door het opstellen van interne gebruiksrichtlijnen zodat het personeel goed ingelicht is, kan al heel wat inbreuken voorkomen. Daarbij moeten de richtlijnen opgevolgd en gecontroleerd worden. Het gebruik van MFA (multi-factor-autorisation) en unieke codes per verantwoordelijke die ingesteld worden door de privacy verantwoordelijke is al een goed begin. Noteer ook in het informatieveiligheidsplan dat werknemer geen toegang hebben tot het WIFI-netwerk van de onderneming met hun eigen toestellen, maar creëer hiervoor een gasten wifi netwerk.

  • Stel beveiligingsprocedures op.

    Procedures zoals weten wat de doen bij een datalek of een poging tot inbraak om persoonsgegevens te stelen moeten opgemaakt worden. Op die manier weet de persoon die een inbreuk vaststelt onmiddellijk welke actie te ondernemen zoals het alarmeren aan de beveiligingsadviseur of een intern contactnummer. Stel ook de instructies op voor werknemers bij het vaststellen van een datalek zodat het probleem of de poging tot op een adequate manier kan aangepakt worden.

  • Voer op regelmatige basis een audit uit.

    Eender welk systeem kan gehackt worden, al is het maar door een ontevreden ex-werknemer die nog steeds een verbinding kan maken. Daarom dient er regelmatig een audit uitgevoerd te worden, zowel op de bedrijfsactiviteiten als op de IT-infrastructuur en het gebruik van communicatie. Kwetsbaarheden kunnen ook tijdens deze audits vastgesteld worden waardoor er een nieuwe PDCA-cyclus kan opgemaakt worden.

  • Geef opleidingen ivm informatiebeveiliging aan uw personeel.

    Beter voorkomen dan genezen is niet alleen in IT-beveiliging een gekend gegeven. Organiseer regelmatig een infodag voor personeelsleden en licht hun in over de gevaren en gebruiken van beveiliging, of dit nu offline of online gevaren zijn. Een verwittigd man is er twee waard! Het doorklikken op verdachte e-mails kan al een groot gevaar betekenen voor uw organisatie.

  • Het informatiebeveiligingsplan blijven opvolgen.

    Hackers zijn inventieve mensen en maken er een sport van om steeds nieuwe middelen te creëren om informatie te kunnen stelen. Voor die reden moet het informatiebeveiligingsplan steeds opgevolgd en hernieuwd worden. Stel een verantwoordelijke aan die deze bedreigingen opvolgt en communiceert met alle medewerkers. Als u heel praktisch bent met uw bedrijfsbeveiliging, kunt u dit document misschien schrijven met heel weinig input van andere belanghebbenden. Als u echter afhankelijk bent van een IT-serviceprovider voor beheerde cyberbeveiliging, heeft u mogelijk hun hulp nodig bij het opstellen van uw plan.