Informatiebeveiliging
Wat is het verschil tussen informatiebeveiliging en IT-beveiliging?Wat is informatiebeveiliging - Definitie
Wat is informatiebeveiliging eigenlijk?
De definitie van informatiebeveiliging is, kort gezegd, de bescherming van de informatie van een bedrijf, ongeacht de aard of herkomst ervan. Het gaat hierbij om informatie van zowel technische als niet-technische aard. Dit betekent dat de nadruk bij informatiebeveiliging ligt op informatie op papier, die in de zakken van mensen, maar natuurlijk ook op IT. Informatiebeveiliging streeft naar naleving van vastgestelde beveiligingsdoelstellingen.
Informatiebeveiliging - Doelen
Informatiebeveiliging heeft dus tot doel alle gevoelige informatie van een onderneming te beschermen, enerzijds tegen ongeoorloofde opzettelijke handelingen, zoals toegang of manipulatie, en anderzijds tegen overmacht, zoals brand, water, enz. en dus uiteindelijk tegen mogelijke grote economische of reputatieschade.
Om een doeltreffende bescherming van informatie te waarborgen, moet de informatiebeveiliging worden georganiseerd in het kader van een beheersysteem met dienovereenkomstig gedefinieerde processen.
Wat is het verschil tussen informatiebeveiliging en IT-beveiliging?
Nu is louter technische bescherming door middel van bijvoorbeeld firewallsystemen niet meer voldoende om bedrijven te beschermen en moet deze gepaard gaan met uitgebreide organisatorische maatregelen. Overeenkomstige maatregelen omvatten het opzetten van een organisatiestructuur, het bepalen van het gewenste beveiligingsniveau en de beveiligingsdoelstellingen. Daarnaast zijn er andere maatregelen, zoals de opstelling van een beveiligingsstrategie en het beveiligingsconcept, alsmede de definitie van processen voor de analyse van bedreigingen, voor tests en monitoring, voor audits, voor voortdurende verbetering, enzovoort.
Onderscheid tussen informatiebeveiliging en IT-beveiliging.
In veel bedrijven wordt onderscheid gemaakt tussen informatiebeveiliging en IT-beveiliging (ook cyber security, cyber resilience). Dit heeft onder meer te maken met de technische vereisten voor de werknemers. IT-beveiliging richt zich op de bescherming van alle IT-infrastructuren, IT-systemen en toepassingen die informatie verwerken. Alle informatie die hier wordt behandeld, vindt plaats op een zuiver technisch niveau. IT-beveiliging moet derhalve worden beschouwd als een deelgebied van informatiebeveiliging. Informatiebeveiliging daarentegen übergeordneter werkt per definitie met zowel technische als niet-technische informatie en houdt zich ook bezig met de organisatie.
Wat betekent technisch/niet-technisch eigenlijk?
Hoewel het op het eerste gezicht ingewikkeld klinkt, is de definitie erachter eenvoudig:
Informatie kan tegenwoordig in heel verschillende vormen bestaan. Informatie kan bestaan als een digitaal bestand op een computer of het doel dienen van bijvoorbeeld netwerk- of computerbeveiliging. Dit is het technische of IT gebied. Informatiebeveiliging en gegevensbescherming zijn ook hier een thema.
Maar tegelijkertijd kan informatie ook in een andere vorm bestaan. Bijvoorbeeld in de vorm van een papieren archief waarin belangrijke gegevens zijn vastgelegd. Bovendien kan belangrijke informatie ook mondeling worden doorgegeven, van persoon tot persoon. De gebouwen van een bedrijf zijn ook zo'n niet-technisch of niet-digitaal systeem en onderdeel van de informatiebeveiliging.
De beschermingsdoelstellingen van informatiebeveiliging zijn dus niet beperkt tot IT-systemen en digitale gegevens. Informatiebeveiliging dient veeleer om alle relevante gegevens op technisch en niet-technisch gebied te beveiligen.
Doelstellingen van informatiebeveiliging - definitie van beschermingsdoelstellingen.
De klassieke beveiligingsdoelstellingen/beschermingsdoelen van informatiebeveiliging zijn:
- De vertrouwelijkheid - bescherming van informatie tegen kennisneming door onbevoegden
- De integriteit - voorkoming van ongeoorloofde wijziging van gegevens, althans het moet mogelijk zijn te ontdekken dat wijzigingen zijn aangebracht
- De beschikbaarheid - betreft zowel informatietechnologiesystemen als de daarin verwerkte gegevens en houdt in dat de systemen te allen tijde operationeel zijn en dat de gegevens toegankelijk zijn zoals bedoeld.
- De authenticiteit - gegevens moeten uniek identificeerbaar zijn voor een afzender. Er moet voor worden gezorgd dat de informatie echt en geloofwaardig is (bronvermelding) of dat de IT-systemen en IT-toepassingen vrij van manipulatie en ongeschonden zijn. De afzender kan een persoon, een systeem of een toepassing van informatie zijn.
Andere mogelijke beveiligingsdoelstellingen/beschermingsdoelen van informatiebeveiliging zijn.
- Ontkoppelbaarheid,
- niet traceerbaar,
- Pseudonimiteit (bescherming tegen identificatie op naam, bijv. volgens § 3 lid 6a BDSG), onwaarneembaarheid (zorgt ervoor dat niet kan worden vastgesteld wie gegevens verzendt of ontvangt),
- Concealment (niemand behalve de communicatiepartners weet dat er communicatie plaatsvindt),
- Anonimiteit (bescherming tegen identificatie. Het is ook een gevolg van onkoppelbaarheid),
- Auditeerbaarheid (controleerbaarheid en traceerbaarheid door registratie en documentatie van acties),
- Continentie (bescherming tegen identificatie).
- Continentie (mogelijkheid om vast te stellen dat „iets anders zou kunnen zijn dan het lijkt“. Het beschermingsdoel „Integrität“ daarentegen laat alleen de vaststelling toe dat „iets is zoals het is“),
- Betrouwbaarheid (voorkomen dat systemen ontoelaatbare of ongedefinieerde toestanden aannemen en garanderen dat de gespecificeerde functie op betrouwbare wijze wordt uitgevoerd),
- Controleerbaarheid,
- niet-reproduceerbaarheid,
- credible deniability.
Om deze doelen te bereiken worden maatregelen genomen in het kader van informatiebeveiligingsbeheer.
Gegevensbescherming en informatiebeveiliging - onlosmakelijk met elkaar verbonden!
De onderwerpen gegevensbescherming en informatiebeveiliging zijn onlosmakelijk met elkaar verbonden. Aangezien veel van de gegevens tegenwoordig in digitale vorm zijn, komt ook de IT-beveiliging weer om de hoek kijken, omdat deze de bescherming van gevoelige gegevens waarborgt. Alleen via IT-beveiliging, als deelgebied van informatiebeveiliging, is gegevensbescherming überhaupt mogelijk. Gegevensbescherming en informatiebeveiliging zijn dus nauw met elkaar verbonden.
Gesimplificeerd kan het ook als volgt worden uitgedrukt: De gegevensbescherming van een bedrijf in combinatie met IT-beveiliging resulteert in holistische informatiebeveiliging. Het samenspel van gegevensbescherming en informatiebeveiliging werkt alleen op deze manier - maar is daardoor des te beter.
Mijn bedreigingen als richtlijn voor informatiebeveiliging.
Omdat informatie op veel verschillende manieren kan bestaan, zijn de mogelijke bedreigingen voor het verlies of de beschadiging van gegevens ook veelzijdig. Ook hier werken bedreigingen dus natuurlijk zowel op technisch als op niet-technisch niveau en is de volgende richtlijn voor informatiebeveiliging zinvol:
- Dreigingen op technisch niveau zijn aanvallen van hackers, spionage, maar ook computervirussen of de wijziging of ontcijfering van gegevens door onbevoegden.
- Mogelijke bedreigingen op niet-technisch niveau zijn bijvoorbeeld vandalisme, maar ook natuurrampen door overstromingen, brand of stormen.
Informatiebeveiligingsmaatregelen
Al deze mogelijke bedreigingen moeten worden voorkomen en informatie van welke aard dan ook moet op deze manier worden beschermd.
De maatregelen worden georganiseerd in het kader van een beveiligingsconcept en vinden - net als de informatie zelf - plaats op technisch en organisatorisch niveau. De respectieve bedrijfsleiding is verantwoordelijk voor de planning en organisatie van alle maatregelen.
Daarbij wordt informatiebeveiligingsbeheer in de hand genomen, met behulp van het informatiebeveiligingsbeheersysteem (ISMS). Als we nu kijken naar de maatregelen die worden genomen op de respectieve technische en niet-technische gebieden, wordt het onderscheid tussen de technische en niet-technische gebieden nog duidelijker:
Technische maatregelen van informatiebeveiliging zijn bijvoorbeeld:Ervoor zorgen dat software, virusbeschermingsprogramma's, back-upsystemen en firewalls beschikbaar en up-to-date zijn. Bovendien wordt er hier onder meer voor gezorgd dat de procedures voor encryptie en authenticatie altijd correct functioneren. IT-componenten zoals computers en alle belangrijke gegevens worden door middel van technische maatregelen opgeslagen en veilig gehouden.
Voorbeelden van organisatorische maatregelen zijn daarentegen: Dit gaat over organisatie. Volgens de definitie zijn dergelijke maatregelen voor informatiebeveiliging bijvoorbeeld: thematische bijscholing en opleiding van werknemers, die ook dienen om hen bewust te maken van het thema informatiebeveiliging. Bovendien kunnen werknemers worden opgeleid in correcte documentatie of richtlijnen krijgen voor het verantwoord omgaan met wachtwoorden en soortgelijke gevoelige gegevens.