Een kostbaar goed!

In de maatschappij van de 21ste eeuw, is informatie een kostbaar goed geworden. En kostbare schatten worden extra beveiligd. Tot voor kort was dat niet zo moeilijk. Iedere organisatie had zijn eigen gesloten informaticanetwerk en dat kon gemakkelijk beveiligd worden met simpele maatregelen.

Een stevig slot op de deur, een goed werkend programma en een dagelijkse back-up volstonden. Dit is echter zeer snel veranderd. In een mum van tijd was iedereen met iedereen verbonden via het internet en aan de golf nieuwe informatie- en communicatietechnologieën komt maar geen einde. Het spreekt vanzelf dat hier heel andere, complexere beveiligingsmethodes aan te pas moeten komen.

Vooraleer we plannen maken om onze informatie te beveiligen, horen we te weten wat we verstaan onder "beveiligde informatie" of anders gezegd "informatiebeveiliging". Nu we weten dat informatie voor een bedrijf van levensbelang is, is het absoluut noodzakelijk dat die informatie van goede kwaliteit is. Foute informatie is soms nog erger dan geen informatie.

Stel dat een warenhuis een grote reclamecampagne aankondigt dat elke jarige klant een geschenk krijgt. Helaas valt een grote groep andere klanten uit de boot omdat de klantengegevens op een of andere manier verloren zijn gegaan. Voor het warenhuis is dit natuurlijk heel slechte reclame en er zal veel moeten gebeuren vooraleer het de verloren klanten zal kunnen terugwinnen.

Dus informatie van goede kwaliteit is juiste en daarom ook goed beschermde en veilige informatie.

Die informatiebeveiliging kan worden getoetst aan zeven kenmerken, ook beheerskenmerken genoemd, die hier worden opgesomd. Vertrouwelijkheid: alleen personen die daarvoor toelating hebben, krijgen toegang tot de informatie, integriteit: de informatie kan niet opzettelijk of onopzettelijk veranderd worden, beschikbaarheid: de informatie is toegankelijk en bruikbaar telkens een gemachtigde persoon erom vraagt, toerekenbaarheid: hierdoor is er altijd een spoor naar de auteur en de bewerking zelf van de informatie, onweerlegbaarheid: hiermee kan bewezen worden dat een bewerking of een gebeurtenis werkelijk plaatsvond en kan dit niet nu en ook niet later ontkend worden, authenticiteit: dit is de eigenschap waardoor men zeker weet dat iemand is wie hij beweert te zijn en ten slotte betrouwbaarheid: de eigenschap waardoor het verwachte resultaat wordt verstrekt. Als uw informatie deze zeven eigenschappen bezit, dan mag u stellen dat ze beveiligd is en dus kwaliteitsvol.

Wanneer die informatie nu persoonsgegevens bevat, speelt ook de Algemene Verording Gegevensbescherming (AVG) mee. De AVG gaat nog een stuk verder en omschrijft bijkomende kenmerken waaraan informatie die persoonsgegevens bevat, moet beantwoorden om beveiligd en beschermd te zijn. Zo moeten persoonsgegevens eerlijk en rechtmatig worden verwerkt voor welbepaalde doeleinden, moeten zij toereikend, ter zake dienend, niet overmatig en nauwkeurig zijn, regelmatig worden bijgewerkt en niet langer worden bewaard dan nodig.

Daarnaast moet ieder bedrijf of elke organisatie een aantal maatregelen treffen om de persoonsgegevens die ze verwerken voldoende te beschermen. Zo moeten zij :

  • de rechten van de betrokken personen eerbiedigen;
  • ervoor zorgen dat gegevens altijd juist zijn of ze verwijderen als dat nodig is;
  • erover waken dat er alleen verwerkingen gebeuren voor het vooropgestelde doel;
  • de toegang tot de persoonsgegevens beperken tot de personen die daar toelating (machtiging) voor hebben gekregen;
  • de gegevens beschermen zolang ze bestaan.

Kortom, dankzij de AVG hebben wij er recht op dat onze persoonsgegevens worden beschermd en die bescherming kan enkel worden geboden als bepaalde beheersmaatregelen worden genomen.

Zodra we weten waaraan onze informatie moet beantwoorden, kunnen we een goed beveiligingssysteem uitwerken om die informatie te beveiligen, zodat ze steeds dezelfde kwaliteit kan behouden. En zoals eerder gezegd: kwaliteitsvolle informatie is absoluut noodzakelijk, wil een organisatie blijven voortbestaan.

Er zijn verschillende methodes om ervoor te zorgen dat de informatiebeveiliging behouden blijft. De ene methode is al duurder dan de andere. Daarom moeten de dreigende gevaren en de maatregelen die we daartegen zullen nemen, zorgvuldig tegenover elkaar worden afgewogen. Wanneer onze onderneming alleen maar geconfronteerd wordt met kleinere gevaren, heeft het geen zin dat we logge en zeer complexe beheersmaatregelen nemen.

Er moet dus weloverwogen maar ook met gezond verstand beveiligd worden. Daarom pakken we dat methodisch aan.

Die aanpak wordt risicobeheer genoemd. Eerst gaan we na aan welke risico’s we blootgesteld zijn. Daarna zullen we beslissen welke risico’s worden aangepakt en welke we zullen aanvaarden. We stellen een lijst op met bovenaan de belangrijkste en gevaarlijkste risico’s en onderaan de risico’s die voor ons onbetekenend zijn. Met die lijst kunnen we aan de slag en kunnen we beveiligingsprocedures uitschrijven.

Eens alle maatregelen en beveiligingssystemen zijn ingevoerd, moeten we dagelijks nagaan of de beheersmaatregelen wel werken en of de beveiligingsregels worden nageleefd, zodat we er altijd zeker van zijn dat alles in veiligheid is. Dit wordt dagelijks beveiligingsbeheer genoemd. Als er toch een incident is, onderzoeken we de oorzaak en gaan we na op welke manier dit incident in de toekomst vermeden kan worden. Daarna passen we de beveiligingsmaatregelen daaraan aan.

Dit gebeurt met een managementsysteem. Met dit systeem wordt de beveiliging voortdurend verbeterd en aangepast aan veranderende omstandigheden en nieuwe technologieën.