Binnen Intermax voer ik voor het afstuderen aan mijn MBA opleiding een onderzoek uit naar informatiebeveiliging. Gaandeweg kom ik er bij het lezen van literatuur en het voeren van gesprekken achter dat informatiebeveiliging een containerbegrip geworden is, waar we vaak ook informatiebeveiligingsmanagement onder scharen.
Informatie beveiliging in theorie
Eind jaren 90 leerde ik op school dat “informatie duidelijk maakt wat voorheen nog onduidelijk of onbekend was”. De internationaal gerenommeerde beveiligingsexpert Scheier definieert beveiliging in zijn boek ‘Beyond fear’ als volgt: “Beveiliging gaat over het voorkomen van nadelige gevolgen van opzettelijke en ongerechtvaardigde acties van anderen”. In het boek ‘Basiskennis informatiebeveiliging op basis van ISO27001 en ISO27002′ wordt de volgende definitie gehanteerd: “Informatiebeveiliging is het behouden van de vertrouwelijkheid, integriteit en beschikbaarheid van informatie. Daarbij kunnen ook andere eigenschappen, zoals authenticiteit, verantwoording, onweerlegbaarheid en betrouwbaarheid een rol spelen”.
Informatiebeveiliging in praktijk
In de praktijk is de scope van wat er beveiligd wordt echter veel groter: niet alleen informatie, maar ook data, software en complete automatiseringsomgevingen, inclusief servers en andere netwerkcomponenten, worden beveiligd. Ook wordt er niet alleen gekeken naar anderen, maar ook naar handelingen van medewerkers binnen organisaties en de acties van systemen. Onderzoek wijst namelijk uit dat een groot deel van de beveiligingsincidenten plaats vindt doordat medewerkers, vaak onbewust, een onveilige situatie creëren, of doordat twee systemen samen voor een onveilige situatie zorgen.
In de praktijk wordt voorgaande ook onder dat containerbegrip informatiebeveiliging geschaard. Terwijl we het eigenlijk over informatiebeveiligingsmanagement hebben. Voor die term wordt in het boek ‘Basiskennis informatiebeveiliging op basis van ISO27001 en ISO27002′ de volgende definitie gehanteerd: “Informatiebeveiligingsmanagement omvat alle gecoördineerde activiteiten die richting geven aan het beleid van een organisatie ten aanzien van risico’s. Risicomanagement omvat normaal gesproken risicoanalyses, het nemen van beveiligingsmaatregelen, het accepteren van risico’s tot een bepaald niveau en het communiceren van risico’s binnen de organisatie”.
Intermax speelt graag een rol bij al deze vraagstukken, of het nu gaat om informatiebeveiliging of het management daarvan. In die combinatie ligt onze toegevoegde waarde. Samen met organisaties brengen we risico’s in kaart, geven we aan hoe andere organisaties daarmee omgaan en treffen we in overleg met organisaties maatregelen. Voorbeelden hiervan zijn signaleren, reageren op gesignaleerde beveiligingsproblemen of aanvallen, het mitigeren van aanvallen en het weer in de normale staat herstellen van een serveromgeving. Daarbij worden de diverse normeringen in acht genomen en helpen we organisaties om bij audits aan te tonen hoe zij informatiebeveiliging ingericht hebben. En om antwoord te geven op de vraag waarmee deze blog begon, wij definiëren informatiebeveiliging als volgt: “Informatiebeveiliging omvat alle activiteiten binnen een vastgesteld systeem waarbinnen mensen en middelen er samen voor zorgen dat de vertrouwelijkheid, integriteit en beschikbaarheid van informatie (in informatiesystemen) gewaarborgd wordt”.