Informatiebeveiligingsbeleid

Voor een adequate beveiliging van informatieprocessen is een gestructureerde opzet en inrichting van het informatiebeveiligingsbeleid van groot belang. Vanuit het beveiligingsbeleid wordt de risicoanalyse (zie vorige hoofdstuk) geïnitieerd. Op basis van de bevindingen van de risicoanalyse dient het juiste pakket beveiligingsmaatregelen te worden samengesteld. Wanneer dit niet (goed) gebeurt kan dit uiteindelijk grote nadelige gevolgen hebben voor de beveiliging van met name de informatieprocessen en daarmee de beveiliging van de informatie zelf.

Naarmate de e-commerceactiviteiten van een onderneming toenemen, of de onderneming met een aanzienlijke hoeveelheid risico’s te maken krijgt, kan het zinvol zijn een speciale functionaris, de security manager, aan te stellen. Een security manager verkrijgt gedelegeerde bevoegdheden van het management op het gebied van informatiebeveiliging. Overigens kan deze functie ook door een groep personen worden uitgeoefend, als dat gezien de omvang van het takenpakket gewenst is. De security manager zal dan aan het hoofd van één of meerdere beveiligingsfunctionarissen (security officers) komen te staan. Vanwege het belang dat de security manager dient is het gewenst dat deze als gelijkwaardig gesprekspartner van het hogere management kan functioneren, aangezien het een zware vertrouwensfunctie betreft. In noodsituaties zal de security manager snel en daadkrachtig moeten kunnen ingrijpen, zonder dat er kostbare tijd verloren gaat doordat er eerst met het management overlegd moet worden. 5.3.1 Beveiligingsbeleid: doelstellingen

Het beveiligingsbeleid is essentieel voor de aansturing en coördinatie van de beveiligingsprocessen binnen de organisatie. Uiteindelijk streven beleidsbepalers naar een duurzaam stelsel van beveiligingsmaatregelen voor zowel de organisatie als de informatiesystemen. Hierbij staat een adequate risicobeheersing centraal. Het beveiligingsbeleid functioneert dientengevolge als communicatie-instrument. De uitvoering van het beleid heeft gevolgen op elk niveau binnen de onderneming. Voor een effectief stelsel van maatregelen is communicatie, zowel top-down als bottom-up, van groot belang.

Een adequaat beveiligingsbeleid kan ook een ander doel dienen. Het voldoen aan beveiligingseisen, die door partijen uit het maatschappelijk verkeer worden opgelegd, kan een positief imago opleveren en eventueel de waarde van de onderneming, uitgedrukt in

shareholder value of stakeholder value, beïnvloeden. Daarnaast kunnen

beveiligings-maatregelen verplicht worden opgelegd door wetgeving, zoals de WBP. Een onderneming zal dus niet ontkomen aan het opzetten van een gedegen beveiligingsbeleid en het als gevolg daarvan uitvoeren van de vereiste beveiligingsmaatregelen.

5.3.2 Beveiligingsbeleid: inhoud en vorm

Eén van de vragen die opkomen bij het opstellen van het beveiligingsbeleid is wat de inhoud en de reikwijdte van het beleid moeten zijn. In het beleid moeten de doelstellingen voor de lange termijn op het gebied van informatiebeveiliging worden vormgegeven, gekoppeld aan bestaande processen en andere organisatieonderdelen binnen de onderneming. Er moet hierbij rekening worden gehouden dat de onderneming aan veranderende omstandigheden onderhevig kan zijn. Gezien de voortdurende technische vooruitgang van internettechnologie speelt dit bij e-commercebedrijven zeker een rol.

In het algemeen zal het beleid zich voornamelijk richten op de volgende aspecten:

• het formuleren van de doelstellingen van informatiebeveiliging (gebaseerd op de bedrijfsdoelstellingen);

• het formuleren van de beveiligingseisen en -randvoorwaarden die vanuit het management gesteld worden;

• het uitdragen van het belang van informatiebeveiliging aan de werknemers;

• het bepalen van het belang dat de verschillende informatiesystemen vertegenwoordigen (afhankelijkheidsanalyse);

• het toewijzen van taken, verantwoordelijkheden en bevoegdheden met betrekking tot informatiebeveiliging;

• het toekennen van personele, materiële en financiële middelen voor informatie-beveiliging;

• het verwijzen naar ondersteunende documentatie, zoals gedetailleerdere beveiligings-richtlijnen en procedures voor specifieke informatiesystemen of huisregels voor beveiliging waaraan gebruikers zich dienen te houden;

• de consequenties van het niet naleven van het beveiligingsbeleid.

Tevens is het zinvol om zaken als afspraken met derden, een calamiteitenplan en richtlijnen voor (voortgezette) risicoanalyse mee te nemen bij de invulling van het beleid.

Bij een e-commerceonderneming zullen voorgaande aspecten niet anders zijn, zij het dat deze aspecten specifiek betrekking hebben op de e-commerceomgeving.

Daarnaast kan de vraag worden gesteld in welke mate van detail het beleid moet worden opgesteld. Wanneer van hogerhand tot in detail de te treffen beveiligingsmaatregelen voorgeschreven worden, leidt dit ertoe dat maatregelen eenvoudig zijn te implementeren, maar ook tot starheid van het beleid. Er is dan immers weinig tot geen speelruimte om op gewijzigde omstandigheden te reageren. Er zal overwogen moeten worden in hoeverre beveiligingsmaatregelen concreet worden vastgelegd in informatiebeveiligingsplannen (zie hierna) en in hoeverre verantwoordelijkheden voor de informatiebeveiliging bij de betreffende functionaris, zoals een security manager, wordt gelegd. Deze afweging kan per onderneming verschillen, afhankelijk van de structuur/omvang van de onderneming, de aard van de bedrijfsprocessen en de risico’s waar de onderneming mee te maken heeft. Zoals hierboven reeds opgemerkt zullen e-commercebedrijven met hun beleidsvoering rekening moeten houden met de dynamische omgeving waarin ze als bedrijf verkeren.

Wat betreft de vormgeving van het beleidsdocument zal dit begrijpelijk en eenvoudig hanteerbaar moeten zijn voor de beoogde gebruikers. Het mag dus niet te dik zijn en moet in heldere taal zijn opgesteld. Tevens dient de meest actuele versie van het beleid voor de gebruikers beschikbaar te zijn.

5.3.3 Beveiligingsbeleid: totstandkoming

Het komen tot een adequaat beveiligingsbeleid is een gecompliceerd proces. Kosten en baten van potentiële beveiligingsmaatregelen zullen zorgvuldig tegen elkaar moeten worden afgewogen. Dit is niet altijd even eenvoudig, vanwege de grote onzekerheid dat risico’s zich daadwerkelijk zullen voordoen, waarbij lang niet altijd alle (financiële) gevolgen van tevoren zijn te overzien. Kosten en baten zijn dan ook moeilijk meetbaar, zodat een analyse veelal gebaseerd wordt op een subjectieve inschatting.

Figuur 2. De relatie tussen informatiebeleid- en plan en de onderdelen van beide

Om een zo goed mogelijk beeld te krijgen van de impact van bedreigingen en de mogelijke gevolgen is het aan te bevelen om reeds in een vroeg stadium een team van een aantal lijnmanagers te betrekken bij het beleid, bijvoorbeeld in de vorm van een projectgroep. Door personen van verschillende niveaus bij het beleid te betrekken wordt een breed draagvlak gecreëerd voor het uiteindelijke beveiligingsbeleid. Voor een goede koppeling tussen beleidsvorming en uitvoering van het beleid is het van groot belang dat de projectgroep inzicht heeft in de organisatiestructuur en -cultuur, de mate van effectiviteit van informatiestromen binnen de onderneming, planning en budgettering, normeringen en tarievenlijsten, procedures, richtlijnen en andere regelingen met betrekking tot besluit-vorming, uitvoering, evaluaties en beveiliging.

De uitkomst van het onderzoek naar het te voeren beveiligingsbeleid zal bekrachtigd moeten worden door de ondernemingsleiding of een daarvoor bevoegd orgaan. Na het opstellen van het lange-termijnbeleid wordt dit beleid vertaald in plannen voor de korte termijn (doorgaans een jaar) en geïmplementeerd in de organisatie.

De relatie tussen informatiebeleid en -plan en de samenhang met de verschillende onderdelen wordt schematisch weergegeven in figuur 2.

5.3.4 Informatiebeveiligingsplan

Voor de korte termijn zal het gevalideerde informatiebeveiligingsbeleid concreet moeten worden gemaakt en worden vastgelegd in een informatiebeveiligingsplan. In dit document komt te staan welke maatregelen uiteindelijk genomen zijn, waarom deze maatregelen genomen worden, welke middelen hierbij gebruikt worden en wat de richtlijnen zijn voor de implementatie ervan. Dit wordt nader uitgewerkt in onder andere een overzicht van de beveiligingsdoelstellingen, een taken- en verantwoordelijkheidsverdeling, de geïdentificeerde risico’s en de te nemen maatregelen hiertegen, onderhoudsvoorschriften en procedures voor de registratie en afhandeling van (de gevolgen van) beveiligingsincidenten.

Informatiebeleid

Globale begroting, lange termijn

Doelen Normen/kwaliteitscriteria

actieplan

Informatiestructuur

Informatieplan

Detail begroting, korte termijn

middelen mensen Gegevensstructuur Processtructuur Technische architectuur Input BIS Proces Output BIS methoden concretisering Organisatiestructuur