Om te voorkomen dat de alsmaar toenemende cybercriminaliteit de overhand neemt, moet men naast het privacy-aspect (GDPR) ook de nodige aandacht schenken aan informatieveiligheid.
Informatieveiligheid is meer dan alleen techniek. Dit is slechts een deel van de oplossing. In de praktijkrichtlijn van de ISO27001 is te lezen dat er naast technische maatregelen, ook organisatorische en procedurele maatregelen genomen moeten worden.
Bij het nemen van deze maatregelen moet er steeds rekening worden gehouden met drie belangrijke principes.
- Integriteit (= correcte, juiste, actuele informatie)
- Beschikbaarheid (= informatie moet raadpleegbaar zijn als men het nodig heeft)
- Vertrouwelijkheid (= enkel toegang voor bevoegde personen)
Samengevat, kan informatieveiligheid worden omschreven als “maatregelen die ervoor zorgen dat de betrouwbaarheid van informatie behouden blijft, en incidenten worden vermeden.”
Mint advocaten heeft in dat kader een overzicht gemaakt met 6 praktische leidraden om de beveiliging van de informatie binnen uw onderneming te verbeteren in de dagdagelijkse praktijk. Dit kan eenvoudig en relatief snel. Mint advocaten helpt u graag op weg!
1. Informatieveiligheidsbeleid- en plan
2. Beleid in-en uitdiensttreding medewerkers
3. ICT-code
4. Telewerkbeleid
5. Beleid datalekken en incidenten
6. Wachtwoordbeleid
Om het voor u zo makkelijk mogelijk te maken, hebben wij voor u een afdrukbare checklist klaarstaan met deze 6 praktische leidraden. Download via onderstaande knop onze checklist.
CHECKLIST INFORMATIEVEILIGHEID
Het beleid als uitgangspunt van een degelijke informatieveiligheid
Om een goede informatieveiligheid op te starten binnen uw organisatie beschikt u het beter over een helder informatieveiligheidsplan-en beleid. Hierin streeft u ernaar een aantal doelstellingen te behalen om de veiligheid van uw organisatie naar een hoger niveau te tillen.
Wees u ervan bewust dat de beveiligingsmaatregelen worden genomen afhankelijk van de vastgestelde risico’s. Ook hier zal de ISO-normering gelden als uitgangspunt waarbij er een onderscheid wordt gemaakt op basis van organisatie, techniek en beleid.
Bewustmaking werknemers ter voorkoming van incidenten en datalekken
Informatieveiligheid heeft ook een belangrijke relatie met het gedrag van medewerkers. De beveiligingsketen is zo sterk als de zwakste schakel. Dit blijkt vaak het gedrag van medewerkers te zijn, die zich niet steeds bewust zijn van de risico’s van hun handelen. Technische maatregelen kunnen dit vaak niet oplossen.
Daarom is het belangrijk medewerkers te wijzen op veilig gedrag. Medewerkers hebben een eigen verantwoordelijkheid bij het zorgvuldig en integer omgaan met informatie die zij verwerken.
Wees u ervan bewust dat deze maatregelen bovendien gelden bij de aanwerving en de uitdiensttreding van werknemers. Denk onder meer aan het overhandigen van een onthaalbrochure met de do’s en dont’s en het aanvragen van toegangen tot het lokale netwerk van de onderneming.
Ook bij de uitdiensttreding zijn er enkele aandachtspunten. Zo dient u de mailbox te blokkeren uiterlijk op het tijdstip van uitdiensttreding. Deze blokkering moet gebeuren nadat de werknemer daarvan vooraf is verwittigd en een automatisch bericht werd ingesteld. Dit bericht mag worden gebruikt gedurende een redelijke periode van één maand, eventueel te verlengen tot drie maanden.
Volledigheidshalve vat u al deze regels nog even samen in een ICT-code, als bijlage bij het arbeidsreglement. Dit kan worden beschouwd als een soort ‘morele’ gedragscode hoe er zo optimaal mogelijk wordt omgesprongen met ICT-materiaal.
Na de COVID-pandemie zijn we massaler beginnen telewerken. Vergeet dus zeker niet om een telewerkbeleid op te stellen. De grootste risico’s op incidenten en datalekken doen zich namelijk voor in een thuiswerkomgeving, door een slecht beveiligd netwerk.
Voorkomen is beter dan genezen
Het is duidelijk dat bewustmaking van medewerkers een eerste stap is om incidenten en datalekken te voorkomen.
Elke werknemer moet op de hoogte zijn van zijn of haar verantwoordelijkheid. Indien er zich een incident of datalek voordoet, dan moet het management van de organisatie hier zo snel mogelijk over worden ingelicht.
Zoals ook reeds toegelicht in onze blog over de GBA, heeft een onderneming namelijk de plicht om binnen de 72u aan de toezichthoudende autoriteiten een datalek te melden om latere sancties te vermijden.
Het is dus van belang dat de organisatie op dat vlak een goed ge-olie machine is.
Nog al te vaak zien we in de praktijk dat werknemers nonchalant omspringen met het gebruik van wachtwoorden en deze een belangrijke oorzaak zijn voor het ontstaan van datalekken / phishing.
Hackers kennen alle trucjes en ezelbruggetjes die we gebruiken wanneer we een wachtwoord verzinnen. Neem daarom de tijd om een sterk wachtwoord in te stellen aan de hand van een duidelijk wachtwoordbeleid binnen uw onderneming.
Wij staan u dan ook graag bij in het opmaken van deze documenten en verdere adviesverlening op uw maat.