Richtlijnen voor bepaling IT-veiligheidsbeleid
Bedrijven hebben een waterdicht IT-veiligheidsbeleid nodig om hun databases te beschermen tegen potentiële gevaren van buitenaf. Hieronder beschrijven we een aantal essentiële fases bij het opstellen van dergelijk beleid. 
Oriëntatiefase
De oriëntatiefase is de eerste stap in het proces van het bepalen van een IT-veiligheidsbeleid. De doelstelling van deze fase is het definiëren van de behoeften van de organisatie. Van groot belang is hierbij het analyseren van het informatiesysteem. Om een zo geschikt mogelijk beleid te implementeren, worden vervolgens de bijkomende risico's en bedreigingen in kaart gebracht.
De oriëntatiefase bestaat uit drie stappen: het identificeren van behoeftes, de risico-analyse en het opstellen van het beveiligingsbeleid.
Identificeren van behoeften
Het identificeren van de behoeften van de organisatie gebeurt door het zo gedetailleerd mogelijk te beschrijven van het informatiesysteem. Hierbij is de volgende informatie van belang:
Medewerkers en hun functies
Aansluitpunten (computers), servers en hun betreffende functies
Network mapping
Domeinnamen die door de organisatie gebruikt worden
Communicatie-infrastructuur zoals routers en switches etc.
Opslag van gevoelige data
Risico-analyse
Tijdens de risico-analyse worden de mogelijke risico's en bedreigingen voor de organisatie bepaald. Daarnaast worden de mogelijke gevolgen van de geïdentificeerde risico's ingeschat.
Om de impact van een bedreiging te analyseren, kan men de kosten inschatten van de schade die deze zou veroorzaken. Bijvoorbeeld: een aanval op de centrale server of het beschadigd raken van essentiële bedrijfsdata.
Het is ten zeerste aan te raden om een tabel te creëren waarin de risico's en hun waarschijnlijkheid op een overzichtelijke manier in beeld gebracht worden. Gebruik daarbij bijvoorbeeld de volgende schaalverdeling:
Onwaarschijnlijk: de bedreiging is (zo goed als) nihil
Laag: het is enigszins waarschijnlijk dat de bedreiging zich voordoet
Gemiddeld: de bedreiging is aannemelijk
Hoog: het is zeer waarschijnlijk dat de bedreiging zich voordoet
Opstellen van het beveiligingsbeleid
Het beveiligingsbeleid van de organisatie wordt in een referentiedocument vastgelegd. Dit document moet in ieder geval de veiligheidsdoelstellingen van de organisatie bevatten en de genomen maatregelen om te garanderen dat de doelstellingen daadwerkelijk worden gehaald. Door middel van een combinatie van regels, procedures en 'best practices' worden zodoende de veiligheidsbehoeften van de organisatie gewaarborgd.
Het opstellen en uitvoeren van het beveiligingsbeleid is een project waarbij medewerkers uit alle lagen van de organisatie betrokken dienen te worden. Zodra het beleid op papier staat, wordt deze (al dan niet gedeeltelijk) gedeeld met de personen voor wie de informatie relevant is. Hoe meer medewerkers van het beleid op de hoogte zijn, hoe hoger de kans van slagen.
Afbeelding: © Visual Generation - Shutterstock.com
Het document met titel "Richtlijnen voor bepaling IT-veiligheidsbeleid" van CCM (nl.ccm.net) is onder voorwaarden van de Creative Commons-licentie gepubliceerd. Je kunt dit artikel kopiëren en kopieën van het artikel aanpassen volgens onze algemene voorwaarden.