Richtlijnen voor bepaling IT-veiligheidsbeleid

Stel een vraag
Bedrijven hebben een waterdicht IT-veiligheidsbeleid nodig om hun databases te beschermen tegen potentiële gevaren van buitenaf. Hieronder beschrijven we een aantal essentiële fases bij het opstellen van dergelijk beleid.

Oriëntatiefase

De oriëntatiefase is de eerste stap in het proces van het bepalen van een IT-veiligheidsbeleid. De doelstelling van deze fase is het definiëren van de behoeften van de organisatie. Van groot belang is hierbij het analyseren van het informatiesysteem. Om een zo geschikt mogelijk beleid te implementeren, worden vervolgens de bijkomende risico's en bedreigingen in kaart gebracht.


De oriëntatiefase bestaat uit drie stappen: het identificeren van behoeftes, de risico-analyse en het opstellen van het beveiligingsbeleid.

Identificeren van behoeften

Het identificeren van de behoeften van de organisatie gebeurt door het zo gedetailleerd mogelijk te beschrijven van het informatiesysteem. Hierbij is de volgende informatie van belang:

Medewerkers en hun functies


Aansluitpunten (computers), servers en hun betreffende functies

Network mapping

Domeinnamen die door de organisatie gebruikt worden

Communicatie-infrastructuur zoals routers en switches etc.

Opslag van gevoelige data

Risico-analyse

Tijdens de risico-analyse worden de mogelijke risico's en bedreigingen voor de organisatie bepaald. Daarnaast worden de mogelijke gevolgen van de geïdentificeerde risico's ingeschat.

Om de impact van een bedreiging te analyseren, kan men de kosten inschatten van de schade die deze zou veroorzaken. Bijvoorbeeld: een aanval op de centrale server of het beschadigd raken van essentiële bedrijfsdata.

Het is ten zeerste aan te raden om een tabel te creëren waarin de risico's en hun waarschijnlijkheid op een overzichtelijke manier in beeld gebracht worden. Gebruik daarbij bijvoorbeeld de volgende schaalverdeling:

Onwaarschijnlijk: de bedreiging is (zo goed als) nihil

Laag: het is enigszins waarschijnlijk dat de bedreiging zich voordoet

Gemiddeld: de bedreiging is aannemelijk

Hoog: het is zeer waarschijnlijk dat de bedreiging zich voordoet

Opstellen van het beveiligingsbeleid

Het beveiligingsbeleid van de organisatie wordt in een referentiedocument vastgelegd. Dit document moet in ieder geval de veiligheidsdoelstellingen van de organisatie bevatten en de genomen maatregelen om te garanderen dat de doelstellingen daadwerkelijk worden gehaald. Door middel van een combinatie van regels, procedures en 'best practices' worden zodoende de veiligheidsbehoeften van de organisatie gewaarborgd.


Het opstellen en uitvoeren van het beveiligingsbeleid is een project waarbij medewerkers uit alle lagen van de organisatie betrokken dienen te worden. Zodra het beleid op papier staat, wordt deze (al dan niet gedeeltelijk) gedeeld met de personen voor wie de informatie relevant is. Hoe meer medewerkers van het beleid op de hoogte zijn, hoe hoger de kans van slagen.

Afbeelding: © Visual Generation - Shutterstock.com
Jean-François Pillou

Jean-François Pillou - Oprichter CCM
Jean-François Pillou, beter bekend als Jeff, is de oprichter van CommentCaMarche.net. Hij is ook de CEO van CCM Benchmark en Digital Director bij Figaro Group.

Meer over het team van CCM

Bekijk ook