De IT-Jurist krijgt doorgaans veel vragen op het gebied van informatiebeveiliging. Dat is ook logisch omdat het werkveld van een IT-jurist standaard ligt op het grensvlak van IT, recht en informatiebeveiliging. In onderstaande checklist wordt een overzicht gegeven van aandachtspunten, die kunnen helpen bij het inzichtelijk maken van eventuele verborgen risico’s en het vergroten van het beveiligingsbewustzijn.
A – Vragen die betrekking hebben op beleid en organisatie van de informatiebeveiliging
- Is er een informatiebeveiligingsbeleid in de vorm van een document en is dit document bekend bij alle medewerkers binnen de organisatie?
- Is er iemand of is er een werkgroep die de verantwoordelijkheid voor informatiebeveiliging neemt door bijvoorbeeld risico’s te signaleren of zich in andere mate bezig te houden met informatiebeveiliging?
- Wordt bij functiebeschrijvingen rekening gehouden met gescheiden bevoegdheden?
Betrokkenheid van het management bij informatiebeveiliging, het uitdragen daarvan binnen de organisatie en de organisatorische inbedding is van groot belang.
B – Toegang door derden en uitbesteding
- Zijn er informatie verwerkende voorzieningen die toegankelijk zijn voor derden zoals bijvoorbeeld leveranciers van ICT-apparatuur i.v.m. onderhoud?
- Doet de organisatie aan outsourcing (bijv. externe salarisverwerking)? Hoe wordt in dergelijke situaties rekening gehouden met de informatiebeveiliging?
In geval van toegang door derden of bij uitbesteding van ICT-diensten moet in contractvorm afspraken zijn gemaakt over informatiebeveiliging.
C – Beheer / procedures
- Zijn er procedures voor correcte en veilige bediening van ICT-apparatuur?
- Zijn er procedures voor het correct en betrouwbaar gebruik maken van applicaties?
- Waarvan worden back-ups gemaakt? Zijn daar vaste procedures voor? Hoe / waar worden de back-ups bewaard en worden back-ups ook regelmatig teruggezet?
- Is er iets geregeld voor het vernietigen van informatiedragers zoals diskettes en tapes maar vooral ook papier?
- Zijn gebruikers bekend met en getraind in beveiligingsprocedures?
- Worden (beveiligings)incidenten door gebruikers gemeld en zijn daar vervolgacties aan gekoppeld?
- Worden bedieningsinstructies voor applicaties en systemen vastgelegd voor beoordeling achteraf (logging)?
Het vastleggen en vooral het naleven van procedures is van groot belang voor de betrouwbare dienstverlening. ICT wordt nog het meest bedreigd vanuit de eigen organisatie, door menselijk falen dan wel door frauduleus handelen.
D – Fysieke beveiliging van ruimtes en van apparatuur
- Wordt bij plaatsing van ICT-apparatuur rekening gehouden met omgevingsfactoren zoals zichtbaarheid en bereikbaarheid van buiten af?
- Is er een “clear desk” policy om te voorkomen dat informatie toegankelijk is voor onbevoegden?
- Wordt ICT-apparatuur volgens voorschrift van de leverancier onderhouden en worden onderhoudswerkzaamheden door deskundig personeel uitgevoerd?
- Worden technische verstoringen inclusief de genomen acties vastgelegd voor evaluatie achteraf?
Voorkomen moet worden dat bedrijfsmiddelen verloren gaan of beschadigd worden, zowel als gevolg van onbevoegde indringing als door het niet functioneren, waardoor de continuïteit van de bedrijfsvoering wordt onderbroken.
E – Bescherming van gegevens
- Wat is er geregeld om te voorkomen dat onbevoegden toegang krijgen tot netwerken, computers en applicaties?
- Is er antivirus software in gebruik? Zo ja, wordt regelmatig een nieuwe versie geïnstalleerd en is voor alle gebruikers duidelijk hoe te handelen in geval van besmetting?
Informatie lijkt steeds kwetsbaarder te worden naarmate toegangsmogelijkheden en beschikbaarheid toeneemt; in geval van internettoegang zijn aanvullende maatregelen nodig!
F – Naleving wettelijke en contractuele verplichtingen
- Is de ICT-infrastructuur deskundig aangelegd en wordt ICT-apparatuur volgens voorschrift van de leverancier onderhouden?
- Zijn er maatregelen om het gebruik van illegale software/ kopieën van software tegen te gaan? Is bij de aanschaf van softwarepakketten voldoende zicht op het aantal gebruikers i.v.m. de licenties?
- Hoe wordt omgegaan met de risico’s van verlies, vernietiging en vervalsing van belangrijke bedrijfsdocumenten?
- Wordt persoonlijke informatie beschermd conform de privacywetgeving?
Elke organisatie heeft te maken met wet- en regelgeving zoals het auteursrecht, de wet computercriminaliteit, de wet bescherming persoonsgegevens, richtlijnen documentbeveiliging etc. Organisaties zijn zich niet altijd voldoende bewust van de consequenties; hierbij kan juridisch advies gewenst zijn.
G – Continuïteit
- Is er bewust voor gekozen bepaalde aspecten niet te beveiligen en zijn daarvoor continuïteitsmaatregelen getroffen?
- Wordt ook rekening gehouden met infrastructurele verstoringen zoals brand, onderbreking van stroom of telecommunicatie, etc.?
- Worden continuïteitsmaatregelen regelmatig getest?
Continuïteitsmaatregelen zijn een vaak verwaarloosd maar belangrijk onderdeel van beveiligingsmaatregelen; bijvoorbeeld de afhankelijkheid van leveranciers kan worden afgedekt door de beschikbaarheid van de broncode goed te regelen.
H – Bewustwording
Zijn gebruikers zich bewust van risico’s als:
- het slordig omgaan met gebruikerswachtwoorden?
- het slordig omgaan met vertrouwelijke documenten?
- het onbeheerd achterlaten van onbeveiligde Pc’s?
- het zichtbaar transporteren en het onbeheerd achterlaten van laptops?
Beveiliging is mensenwerk! Het is nodig gebruikers bewust te maken van het belang van informatiebeveiliging. Een onderneming is verplicht zijn medewerkers te voorzien van de juiste middelen om het beveiligingsbeleid te ondersteunen tijdens het uitvoeren van de normale werkzaamheden.
Het team van De IT-Jurist helpt u graag verder op het gebied van informatiebeveiliging.