Klein bedrijf beleeft informatieveiligheid anders

Klein bedrijf beleeft informatieveiligheid anders
Kleine ondernemingen moeten met minder financiële middelen en minder (of geen) gespecialiseerd personeel werken dan grote ondernemingen. Hoe pakken ze hun informatieveiligheid aan?
Marc Vael
De digitale wereld zorgt ervoor dat informatie een van de belangrijkste grondstoffen is geworden om een onderneming draaiende te houden. De toegang tot alle digitale informatie voor de goede werking van ondernemingsprocessen is niet meer het exclusieve terrein van grote ondernemingen, maar is vandaag toegankelijk voor zeer kleine tot middelgrote ondernemingen. Waar vroeger enkel grote multinationals enorme mainframe computers konden kopen en gebruiken met relatief weinig capaciteit en beperkte toepassingen, is vandaag digitale informatie in overvloed beschikbaar op allerlei apparaten voor bijna iedereen, waar en wanneer je dat maar wenst.
De technologische evolutie van de laatste jaren heeft voor mobiele IT gezorgd via smartphones en tabletcomputers. Maar helaas stellen we dagelijks vast dat ondernemingen op het gebied van informatieveiligheid nog niet mee zijn met het digitale tijdperk. Nieuwe evoluties worden zowel goedaardig als kwaadaardig gebruikt. Ook de digitale overal bereikbare informatie zorgt voor aanzienlijk hoger kwaadaardig gebruik.
Het thema informatieveiligheid komt meer en meer aan bod door de dagelijkse blootstelling van grote en kleine ondernemingen, mede omdat dezelfde hardware, software en netwerken (internet, mobiel, wifi) gebruikt worden. Het veiligheidssysteem van alle ondernemingen en particulieren wordt 24 uur per dag en zeven dagen per week uitgedaagd door individuen of organisaties of overheden met minder goede bedoelingen of door problemen met technische aspecten die de normale werking ernstig kunnen verstoren of verhinderen.
Grote ondernemingen hebben typisch grote(re) budgetten en kunnen gespecialiseerde teams aanwerven of inhuren voor wie het een dagtaak is om ervoor te zorgen dat de gevoelige informatie afdoende wordt beschermd, zodat de bedrijfsdoelstellingen niet in gevaar komen en om de informatie (die de onderneming nodig heeft) te vrijwaren van ongewenste invloeden. Deze invloeden zijn zeer divers van aard en kunnen de werking van de onderneming enorme schade toebrengen, van financiële schade tot zware reputatieschade. Ondanks hun mogelijkheden worstelen sommige grote ondernemingen nog met de informatieveiligheidsproblematiek. Kleine(re) ondernemingen moeten met minder financiële middelen en minder (of geen) gespecialiseerd personeel werken. Vandaar de vraag: hoe pakken kleine(re) ondernemingen hun informatieveiligheidsproblematiek aan?
Beleid
Een eerste element in de aanpak bij kleine(re) ondernemingen is een formeel beleid rond informatieveiligheid (‘information security policy’).
Dit beleid moet zorgen dat een onderneming aan de wettelijke vereisten voldoet (zoals bescherming van privé-informatie) en dat de betrokkenen worden ingelicht (‘security awareness’).
Een informatieveiligheidsbeleid draagt aan tot de concrete bescherming van middelen en activa. Het besef van de kwetsbaarheid van informatie zet het personeel ertoe aan om zich te houden aan het beleid van informatieveiligheid. Als werknemers de ernst en de kwetsbaarheid van de situatie niet begrijpen, dan zullen zij zich niet houden aan het informatieveiligheidsbeleid. Toch beschikken de meeste kleine(re) ondernemingen vandaag nog steeds niet over een dergelijk formeel beleid inzake informatieveiligheid. Maar dit is een essentieel element in de volledige aanpak rond informatieveiligheid. Bovendien kan dit in slechts één of twee bladzijden uitgelegd worden. Uiteraard dient de zaakvoerder (directeur/degene die het bedrijf leidt) zelf ook het goede voorbeeld te geven rond informatieveiligheid (‘tone at the top’) opdat de werknemers volgen.
Risicobeheer
In dit digitaal tijdperk, waarin ondernemingen gebruik maken van geautomatiseerde informatiesystemen om hun informatie te verwerken ter ondersteuning van hun missie, speelt risicobeheer een kritieke rol in het beschermen van deze digitale ‘activa’ tegen IT-gerelateerde risico’s.
Risicobeheer is een essentieel proces voor het opleveren van IT-projecten met succes. Het gebrek aan risico-identificatie en -beheer levert een belangrijke bijdrage aan projectfalen; zeker voor kleine ondernemingen die in vele gevallen last hebben van een beperkte kennis van IT, een beperkt begrip hebben van IT-mogelijkheden en aanverwante risico’s. Risico’s rond informatieveiligheid worden toegespitst op de volgende drie principes:
1. Confidentialiteit/Vertrouwelijkheid
2. Integriteit
3. Beschikbaarheid
Het toepassen van een goed risicobeheerproces draagt bij aan voordelen zoals minder operationele verrassingen en problemen, verhoogde informatiekwaliteit, groter vertrouwen door de betrokkenen/belanghebbenden, minder zorgen rond regelgeving en innovatieve applicaties die nieuwe bedrijfsinitiatieven ondersteunen.
Kleinere ondernemingen staan voor dezelfde uitdagingen als hun grote tegenhangers als het aankomt op netwerkbeveiliging en -bedreigingen. Deze bedreigingen worden opgevangen in antivirusbescherming, pc-beveiliging, e-mailbeveiliging, netwerkbeveiliging, firewall en draadloze netwerken. In al deze domeinen is het van kritisch belang dat er terdege wordt gepland, geselecteerd, geconfigureerd (van hardware en software).
Zaakvoerders in kleine ondernemingen hebben meestal nooit een concrete risicoanalyse laten uitvoeren rond informatieveiligheid. Informatieveiligheid is het grootste risico dat wordt geassocieerd met IT-investeringen bij kleine ondernemingen. Het gebruik van IT binnen een onderneming brengt een aantal potentiële risico’s met zich mee. De toenemende afhankelijkheid van IT voor het bereiken van strategische voordelen kan een onderneming blootstellen aan een aantal types van risico’s wat betreft gegevens, apparatuur, software, personeel en de faciliteiten van externe aard, zoals natuurrampen. Maar er zijn ook interne risico’s, zoals technische problemen, sabotage, fraude en ongeoorloofde toegang. Terwijl er steeds verder wordt geïnvesteerd in IT, groeit het besef dat er ook de behoefte komt vanuit de directie en de betrokkenen om hieruit meerwaarde te halen. Dit is zeker het geval voor kleine ondernemingen, waar foutieve IT-investeringen een desastreuze impact kunnen hebben op de werking en rentabiliteit van de onderneming. In vele gevallen zijn de benodigde investeringen groter dan het beschikbare budget voor een kleine(re) onderneming.
Raamkader
Om ervoor te zorgen dat voldoende dekking bestaat voor de risico’s die zich voordoen in de wereld van IT, is het nuttig om een raamkader te gebruiken dat alle relevante aspecten van informatieveiligheid bespreekt en behandelt. Er zijn enkele universele raamwerken rond informatieveiligheid beschikbaar zoals ISO2700X, COBIT5, ITIL v3, voor gebruik in elke onderneming, dus ook kleine ondernemingen. Nu is het wel zo dat in de praktijk dergelijke raamkaders moeten worden aangepast aan de typische kenmerken van de kleine(re) onderneming om het aanvaardbaar en werkbaar te maken. In de praktijk wensen directeuren vooral kant-en-klare documenten en eenvoudige processen om de veiligheid van hun informatie te optimaliseren.
Interne kennis
Bedrijfscontinuïteit en informatieveiligheid (‘business continuity’ en ‘information security’) zijn de IT-bekwaamheden bij uitstek die voor kleine ondernemingen het verschil kunnen maken. In vele gevallen is één persoon aangewezen om regelmatig back-ups van de data op de systemen te maken, en deze weg te brengen naar een andere fysieke locatie.
Het gebrek aan (gedocumenteerde) interne kennis en expertise rond IT en rond informatieveiligheid kan zeer nefaste gevolgen hebben voor kleine(re) ondernemingen. De directie in kleine(re) ondernemingen dient zich er van bewust te zijn dat grotere bedrijven de mogelijkheden hebben om een groot IT-departement uit te bouwen met taken die honderd procent uitgevoerd en gecentraliseerd zijn bij personen of diensten.
Bij kleine ondernemingen zijn deze taken vaak verdeeld over personen die verschillende rollen hebben of verschillende taken behoren bij één persoon. Het in huis hebben van personeel met technische IT-vaardigheden is echter bij kleine ondernemingen zeker als een competitief voordeel te beschouwen.
Er zijn weinig kleine ondernemingen die zelf instaan voor het thema informatieveiligheid bij gebrek aan middelen. Weinig kleine ondernemingen documenteren plannen zodat ze paraat genoeg zijn om de gevolgen van een ernstige bedrijfsonderbreking op te vangen en hun bedrijfsactiviteiten te kunnen hervatten binnen aanvaardbare termijnen voor hun klanten. De directeur speelt hier een belangrijke rol om dergelijke interne kennis en expertise te laten roteren tussen verschillende personen, bijvoorbeeld tijdens de vakantieperiode, waardoor de afhankelijkheid van één individu rond informatieveiligheid beperkt wordt. Verder kan de directeur waar nuttig beroep doen op externe gespecialiseerde partners om (een deel van) de kennis rond bepaalde informatiesystemen te herverdelen over verschillende personen.
Interne beslissingsmacht
In vele kleine ondernemingen is het niet de IT-verantwoordelijke maar de directeur die het laatste woord heeft wat de informatie, IT en IT-veiligheid van de onderneming betreft. Toch geven vele directeuren toe dat hun kennis op het gebied van informatie en IT veiligheid eigenlijk onvoldoende is. Bovendien weten weinig directeuren hoe ze praktisch te werk moeten gaan om hun informatie te beveiligen op een aanvaardbaar niveau en hoeveel dit gaat kosten (op korte en lange termijn).
Directeuren hebben zelden de tijd of de nodige achtergrondkennis om de veiligheid van hun IT-systemen en bedrijfsgegevens optimaal te organiseren. Het spreekt voor zich dat zij andere prioriteiten hebben. Maar de realiteit is dat directeuren nu eenmaal regelmatig cruciale beslissingen (moeten) nemen inzake IT en informatieveiligheid. In vele kleine ondernemingen heeft de directeur het laatste woord heeft bij de selectie en aankoop van producten om de informatie van de onderneming te beschermen. De IT-verantwoordelijke heeft meestal een beperkte verantwoordelijkheid voor de selectie en aankoop van de informatie en IT-veiligheid in een kleine onderneming, maar kan wel sterk betrokken zijn bij de installatie van dergelijke IT-oplossingen.
De gemiddelde kleine onderneming beschikt meestal enkel over een firewall en een antivirussoftware om zich te beveiligen. Meer en meer directeuren beseffen dat ze moeten voldoen aan boekhoudingkundige verplichtingen en aan de regelgeving inzake privacy, bescherming tegen gegevensverlies, enzovoort. Vandaar de noodzaak om duidelijke, kant-en-klare informatie te verspreiden in de vorm van een handige checklist en een lijst met eenvoudige acties waarmee directeuren van kleine ondernemingen kunnen nagaan hoe goed ze scoren rond hun eigen informatie en IT-veiligheid en welke stappen ze eerst moeten zetten.
Het European Network and Information Security Agency (Europese Agentschap voor netwerk- en informatieveiligheid, ENISA) stelt veel van dergelijke informatie sinds 2008 beschikbaar (www. enisa.europa.eu/activities/cert/security-month/ deliverables/2008).
Hoe pakken kleine(re) ondernemingen hun informatieveiligheidsproblematiek aan? In essentie hetzelfde als de grote(re) ondernemingen, zij het met veel minder middelen en met snellere beslissingen.
 
Tien praktische tips voor directeuren van kleine ondernemingen rond informatieveiligheid:
1. Engageer u als directeur actief (zichtbaar) rond informatie
en IT-veiligheid.
2. Zorg voor een inventaris van uw belangrijkste veiligheids-risico’s en geef de middelen om ze tijdig op te lossen.
3. Zorg ervoor dat al uw werknemers op de hoogte zijn van de wettelijke, reglementaire of commerciële veiligheidsvereisten.
4. Zorg voor een duidelijke en eenvoudige gedragscode rond informatiebehandeling en -beveiliging en wijs verantwoordelijkheden toe aan de werknemers.
5. Zorg voor een regelmatige en duidelijke voorlichting van al uw personeel.
6. Maak een lijst met ‘do’s & don’ts’ voor al uw werknemers.
7. Laat alle overbodige gegevensbestanden en software van computers verwijderen en zorg voor een veilige verwerking van afgedankte hardware en media (tapes, usb-sticks, enzovoort).
8. Zorg dat voldoende draaiboeken voorzien zijn wanneer zich problemen voordoen rond informatie en IT.
9. Bekijk hoe u uw onderneming kunt vrijwaren voor de schadelijke gevolgen van brand, waterschade, elektriciteitsof computerdefecten.
10. Zorg voor de interne publicatie van een duidelijk en meetbaar veiligheidsoverzicht.
 
Marc Vaels is chief audit executive bij Smals. E-mail: marc@vael.net en marc.vael@smals.be

Tag

Mkb

OnderwerpNiet gevonden? Vraag het de redactie!

Heeft u het antwoord op uw vraag niet gevonden, of bent u op zoek naar specifieke informatie? Laat het ons weten! Dan zorgen we ervoor dat deze content zo snel mogelijk wordt toegevoegd, of persoonlijk aan u wordt geleverd!

Stel uw vraag