Een informatiebeveiligingsbeleid

Het informatiebeveiligingsbeleid houdt rekening met alle mogelijke aspecten die voor onze organisatie een gevaar kunnen vormen of schade kunnen veroorzaken. Al deze mogelijkheden worden in kaart gebracht en bestudeerd, waarna we de passende maatregelen kiezen.


Eerst moeten we kijken wat nu precies in gevaar kan worden gebracht, met andere woorden wat het bedrijf bezit of wat het vermogen van ons bedrijf is.

Daarna onderzoeken we welke gevaren ons bezit bedreigen. Die dreigingen kunnen een brand zijn of een computercrash. Maar het kan ook een onopzettelijke menselijke dreiging zijn. Bijvoorbeeld iemand die bij vergissing een vertrouwelijk document op de trein liet liggen. Of er is kwaad opzet in het spel, zoals inbraak of spionage.

Vervolgens moeten we ook rekening houden met de zwakke schakels of kwetsbaarheden binnen ons bedrijf. Dit kan verkeerd geïnstalleerde software zijn of een slecht werkend slot aan de toegangsdeur van een lokaal waar belangrijke informatie wordt bewaard. Zulke zwakke plekken in de beveiliging kunnen er echt toe leiden dat er schade wordt veroorzaakt. Door een programmeerfout kan een hacker bijvoorbeeld in het systeem inbreken en een bestand vernietigen.

Daarnaast zijn er helaas ook altijd nog onverwachte incidenten, zoals bijvoorbeeld een overbelasting van het informatiesysteem We moeten dus trachten mogelijke incidenten in rekening te brengen.
Bovendien zijn bepaalde incidenten niet zonder gevolgen en kan de impact ervan soms enorm zijn. Zo zou een aangetast bestand met gegevens over kinderbijslag uw gezin erg kunnen benadelen. Ook hiervoor moeten we een oplossing bedenken.

En ten slotte moeten we de risico's die ons bedrijf loopt, proberen in te schatten. We berekenen de kans dat een bepaald gevaar zich in het bedrijf voordoet (bijvoorbeeld een virus dat een bestand wist) en we trachten in te schatten hoe groot de gevolgen daarvan zullen zijn. Zo kan het gaan om een gewist bestand van de loonberekening van ons personeel of om een personeelslid dat zijn wachtwoord voor toegang tot het boekhoudbestand heeft doorgegeven aan een collega. De gevolgen van beide voorvallen kunnen erg van elkaar verschillen.

Nu we alle elementen kennen die voor ons bedrijf een gevaar kunnen betekenen, stellen we onze beheersmaatregelen op. We zoeken voor alle blootgelegde gevaren en risico's de oplossing die voor ons bedrijf het meest geschikt is. We kunnen mogelijke gevaren verminderen of kwetsbaarheden corrigeren door ervoor te zorgen dat de gevolgen worden beperkt. We kunnen ook actief mogelijke incidenten opsporen zodat we kunnen optreden nog vóór de situatie verergert.

En tot slot zijn er de overblijvende risico’s of restrisico’s, die blijven bestaan nadat de beschermingsmaatregelen werden ingevoerd. Die restrisico’s zijn niet te vermijden (bv. menselijke vergissingen) maar het komt erop aan ze zo klein mogelijk te houden.

Het is dus een illusie te denken dat we alle risico’s kunnen uitsluiten. Al hebben we nog zo goed beveiligd, onverwachte gebeurtenissen blijven altijd mogelijk: kwaad opzet bijvoorbeeld, maar ook menselijke fouten, natuurrampen, enz. Helaas slaan die gevaren meestal onverwacht toe waar ze het minst worden verwacht. Er zit niets anders op dan met dit risico te leren leven. Het enige wat we nog kunnen en moeten doen is dit overblijvende risico zo klein mogelijk houden. Dit is voor ieder bedrijf anders en dat is dan ook de reden waarom er geen pasklare modellen bestaan voor de opmaak van een informatiebeveiligingsbeleid. Elk bedrijf zal een beleid moeten opstellen dat het best bij de organisatie past.