Inleiding Informatiebeveiliging
Informatiebeveiliging wat houdt het in? In deze training/les wordt die vraag beantwoordt. Om de informatiebeveiliging beter te plaatsen binnen uw bedrijf is deze training ontwikkeld zodat u als werknemer bewuster wordt van informatiebeveiliging. U zult er in deze training achterkomen dat er meer komt kijken dan alleen technologische aspecten en dat u als medewerker ook een grote rol spelen in het waarborgen van de informatiebeveiliging. Het is veel belangrijker dan mensen denken en daarom is deze training/les ontwikkeld.
Deel 1: Gegevens.
Deel 1.1: Gegevens voor organisaties
Voor elke organisatie zijn gegevens belangrijk, hier draait een organisatie immers op. Het gebruiken van gegevens speelt dus een cruciale rol in elke organisatie. Voor enkele organisaties is het gebruik en het verwerken van gegevens het belangrijkste proces.
Deel 1.2: Waarde van gegevens
De waarde van de gegevens verschilt per organisatie. Gegevens zullen voor een drukkerij minder belangrijk zijn dan een gemeente of inlichtingendienst. De waarde van de gegevens hangt af van een aantal factoren:
- Het procesbelang: Hoe belangrijk zijn de bedrijfsprocessen voor de organisatie die gebruik maken van de betreffende gegevens.
- Onmisbaarheid voor de bedrijfsprocessen: Hoe belangrijk zijn gegevens die gebruikt worden voor de bedrijfsprocessen.
- De herstelbaarheid: De mate waarin ontbrekende, incomplete of onjuiste gegevens gereproduceerd of hersteld kunnen worden.
- Het belang van derden: Hoe belangrijk zijn de gegevens voor derden. Hoeveel waarde hechten zij aan de betreffende gegevens.
Deel 1.3: Soorten gegevens
- Personeelsgegevens
- Klantgegevens
- Leveransciersgegevens
- Contractgegevens
- Financiele gegevens
- Contacgegevens
- Archieven
- Zaakgegevens
Deel 1.4: Verschil gegevens en informatie
Gegevens en informatie zijn twee begrippen die vaak door elkaar gebruikt worden. Echter bestaat er wel een onderscheid tussen de twee begrippen. Gegevens zijn feiten. Informatie daarentegen is de betekenis die de mens aan de gegevens toekent, waarbij rekening gehouden wordt met afspraken. Informatie is dus subjectief. Vanuit gegevens kan, afhankelijk van de gebruiker, verschillende informatie ontstaan. Oftwel, twee ontvangers van dezelfde gegevens kunnen er verschillende informatie aan ontlenen. Gegevens worden gezien als de grondstof voor informatie.
Deel 2: Bedreigingen
Deel 2.1: Bedreigingen
Bij het beveiligen van informatie is bedreiging een belangrijk begrip. Bedreigingen zijn processen en gebeurtenissen die in potentie een verstorende invloed heeft op de betrouwbaarheid van een object. Voor de informatiebeveiliging zijn dit objecten van de informatievoorziening zoals: apparaten, programma's, gegevens, procedures en mensen.
Bedreigingen kunnen vertaald worden naar de aspecten van betrouwbaarheid, de bedreigingen beïnvloeden de aspecten negatief. Betrouwbaarheid telt drie verschillende aspecten, beschikbaarheid, integriteit en vertrouwelijkheid. Kort gezegd het BIV-principe.
Deel 2.2: Soorten bedreigingen
Bedreigingen zijn onder te verdelen in een tweetal bedreigingen:
- Menselijke bedreigingen: Menselijke bedreigingen kunnen worden opgedeeld in twee delen:
- Onopzettelijke fouten: Hiebij gaat het om handelingen die onopzettelijk foutief zijn. Hierbij kan gedacht worden aan je PC niet locken voor een tiolet bezoekje, een USB stick open en bloot laten liggen of iemand maakt een typefoutje.
- Misbruik en criminaliteit: Dit spreekt voor zich. Hierbij kan gedacht worden aan hacken, diefstal, sabotage of fraude.
- Niet-menselijke bedreigingen: Niet-menselijke bedreigingen kunnen worden opgedeeld in drie verschillende delen:
- Invloeden van buitenaf: Hierbij kan gedacht worden bedreigingen uit de natuur, zoals een aardbeving, storm, blikseminslag. Ook wateroverlast of een brand zijn een bedreiging.
- Storingen van de basisinfrastructuur: Hierbij gaat het vooral over het uitvallen van bijvoorbeeld de elektriciteit.
- Storingen van de apparatuur: Hier gaat het over storingen in apparatuur, programmatuur en gegevensbestanden.
Deel 3: Beschikbaarheid BIV
Beschikbaarheid: Dit is de mate waarin functionaliteit of gegevens op de juiste momenten beschikbaar is voor gebruikers.
Deel 3.1: Kenmerken beschikbaarheid
Beschikbaarheid heeft een aantal kenmerken die er uitspringen:
- Tijdigheid: Dit kenmerk houdt in dat de informatie op tijd beschikbaar is. Bijvoorbeeld, dat de benodigde informatie er is voor de vergadering en niet erna.
- Continuïteit: Bij dit kenmerk gaat het erom dat de informatievoorziening door blijft lopen. Er moet sprake zijn van een ondoorbroken samenhang van de bedrijfsprocessen.
- Vindbaarheid: De benodigde informatie moet makkelijk te vinden zijn. Dan kunnen de processen beter doorgaan.
Deel 3.2: Bedreigingen beschikbaarheid
Voor de bij 3.1 beschreven kenemerken zijn er ook een aantal bedreigingen te kenmerken:
- Tijdigheid: Bij tijdigheid kan als er bedreiging, vertraging zijn. Dit kan dan komen door overbelasting van de interne infrastructuur.
- Continuïteit: Bij Continuïteit Is uitval van de systemen de bedreiging. Dit komt dan door een defect in de infrastructuur.
- Vindbaarheid: Hier is de bedreiging dat de benodigde gegevens niet gevonden kunnen worden door een verkeerde indexering.
Deel 4: Integriteit BIV
Integriteit: Dit is de mate waarin functionaliteit of gegevens op de juiste manier en volledig zijn ingevuld.
Deel 4.1: Kenmerken integriteit
Integriteit heeft net zoals beschikbaarheid een aantal kenmerken:
- Correctheid: Hier gaat het om dat de gegevens juist zijn ingevuld. Op de juiste plek en ook de juiste informatie.
- Volledigheid: Bij volledigheid gaat het erom dat alle gegevens die nodig zijn er ook zijn.
- Geldigheid: Bij geldigheid gaat het erom dat de gegevens up-to-date zijn. Om het simpel te verwoorden, de houdbaarheidsdatum van de gegevens is nog niet verstreken.
- Authenticiteit: Hier gaat het om de mate van orginaliteit en herkomst van de gegevens. Deze moet hierbij ongeschonden blijven.
- Onweerlegbaarheid: Bij onweerlegbaarheid gaat het over de eigenschap dat een bewerking of gebeurtenis daadwerkelijk plaatsgevonden heeft en niet later ontkend kan worden.
Deel 4.2: Bedreigingen integriteit
Voor de bij 4.1 beschreven kenemerken zijn er ook een aantal bedreigingen te kenmerken:
- Correctheid: Een bedreiging voor correctheid zijn wijzigingen van de gegevens. Hierbij kun je denken aan een typefout, ongeautoriseerde wijziging of een malware-infectie.
- Volledigheid: Hier zijn een tweetal bedreigingen te kenmerken. Het gaat dan om het ongeautoriseerd toevoegen of verwijderen van gegevens.
- Geldigheid: De bedreiging hier is de veroudering van gegevens. De gegevens worden dan niet up-to-date gehouden.
- Authenticiteit: Hier is de bedreiging de vervalsing van gegevens. Hierbij kun je denken aan een frauduleuze transactie of een valse indentiteit.
- Onweerlegbaarheid: Bij onweerlegbaarheid is de bedreiging verlooching. Personen ontkennen bepaalde dingen te hebben verstuurd of gewijzigd.
Deel 5: Vertrouwelijkheid BIV
Vertrouwelijkheid: Dit is de mate waarin de toegang tot functionaliteit of gegevens beperkt is tot degenen die daartoe bevoegd zijn.
Deel 5.1: Kenmerken vertrouwelijkheid
Net zoals beschikbaarheid en integriteit heeft vertrouwelijkheid ook kenmerken. Bij vertrouwelijkheid zijn twee kenmerken te onderscheiden:
- Exclusiviteit: Alleen een geautoriseerd persoon kan bij bepaalde gegevens. Iemand die hier niet bevoegd voor is, kan er ook niet bij.
- Privacy: Gegevens blijven voor de persoon en organisatie. Gevoelige gegevens mogen niet bekend gemaakt worden. Deze gegevens worden afgeschermd.
Deel 5.2: Bedreigingen vertrouwelijkheid
Voor de kenmerken beschreven bij 5.1 zijn ook een aantal bedreigingen te kenmerken:
- Exclusiviteit: Voor exclusiviteit zijn er een tweetal bedreigingen. Het onthullen en misbruiken van gegevens. Voorbeelden waar aan gedacht kan worden zijn: Het afluisteren van het netwerk, hacking en privé gerbuik van de gegevens.
- Privacy: Voor privacy is de aantasting van de persoonlijke integriteit de bedreiging. Hierbij zal het vooral gaan over het uitlekken van gevoelige persoonsgegevens.
Deel 6: AVG
De Algemene Verordening Gegevensbescherming, beter bekend als de AVG, is een privacy wet die geldt voor alle landen die in de Europese Unie zitten. Dit houdt in dat de persoonsgegevens in alle landen op dezelfde manier beschermd moeten worden. Het is een wet die zeer recent tot stand is gekomen, sinds 25 mei 2018 is de AVG van toepassing. Deze wet vervangt de Wet bescherming persoonsgegevens (Wbp).
Deel 6.1: AVG algemeen
De AVG gaat over de gegevens van elk geïdentificeerde of identificeerbare persoon. De privacywet geldt voor iedereen die persoonsgegevens vastleggen van klanten, werknemers, personen en inwoners. De wet geldt dus ook voor een gemeente. Persoonsgegevens kunnen zijn:
· Naam
· Adres
· Woonplaats
· Telefoonnummer
· Geboortedatum
· E-mail
De bovengenoemde gegevens kunnen als gevoelig worden bestempeld. Er moet hier dan ook zorgvuldig mee omgegaan worden, ze mogen niet misbruikt. Als de persoonsgegevens in de verkeerde handen komen te liggen is er sprake van een datalek. De gevolgen van een datalek kunnen slecht uitpakken. Het imago en vertouwen in een organisatie kan hierdoor dalen. Een datalek kan ook flinke boetes opleveren. Hierdoor is dus belangrijk dat er goed opgelet wordt en dat er integer gehandeld wordt bij het werken met gevoelige gegevens.
Deel 6.2: Stappenplan AVG
Om te voldoen aan de privacywet is het heel handig om een stappenplan te volgen. Dit zijn;
1. Bewustwording
De medewerkers van de gemeente moeten op de hoogte zijn van de verschillende privacyregels. Er moet awareness gecreëerd worden en ze moeten weten dat de AVG een groot impact heeft op veel processen binnen de gemeente.
2. Rechten van betrokkenen
De mensen waarvan de gegevens worden verwerkt hebben ook rechten. Zij hebben recht op inzage en recht op correctie & verwijdering. Dit houdt in dat het personeel hun data mogen inzien en ook mag er gecorrigeerd worden.
3. Overzicht verwerkingen
De gegevensverwerkingen moeten duidelijk in kaart worden gebracht. De persoonsgegevens moeten gedocumenteerd worden op een overzichtelijke manier zodat er gelijk actie kan worden ondernomen als het moet.
4. Data protection impact assesment (DPIA)
Het is verplicht om een DPIA uit te voeren onder de AVG. Een DPIA is een instrument om vooraf bepaalde privacy risico’s van een gegevensverwerking in beeld te brengen. Er kunnen dan maatregelen genomen worden om zo effectief mogelijk de risico’s te verkleinen.
5. Privacy by design en privacy by default
Privacy by design houdt in dat bij het ontwerpen van producten en diensten er goed gekeken wordt naar de bescherming van de persoonsgegevens.
Privacy by default houdt in dat er technische en organisatorische maatregelen genomen moeten worden om ervoor te zorgen dat alleen persoonsgegevens verwerkt worden die noodzakelijk zijn voor desbetreffend doel.
6. Functionaris voor de gegevensbescherming
Organisaties kunnen verplicht zijn om een functionaris voor de gegevensverwerking aan te stellen. Dit moet onder de AVG.
7. Meldplicht datalekken
De AVG stelt strenge eisen op met alles te maken heeft met datalekken. Alle datalekken moeten gedocumenteerd worden. De AP (autoriteit persoonsgegevens) controleert of dit wel is gedaan.
8. Bewerkersovereenkomsten
Als de gegevensverwerking uitbesteed wordt aan een verwerker, moet er eerst beoordeeld worden of de overeengekomen maatregelen in bestaande contracten met de verwerkers nog steeds toereikend zijn en voldoen aan de eisen van de AVG.
9. Leidende toezichthouder
Een organisatie die gevestigd is in meerdere landen of meerdere gegevensverwerkingen hebben in andere lidstaten hoeven onder één privacy toezichthouder zaken te doen.
10. Toestemming
Bij sommige gegevensverwerkingen zijn er toestemming nodig van de betrokkenen. De manier waarop er toestemming vraagt is erg belangrijk, dit heeft strenge eisen. Het moet aantoonbaar zijn dat er toestemming is gegeven om persoonsgegevens te verwerken.
Deel 7: Wat kunt u doen?
In de voorgaande delen is veel informatie gedeeld over het BIV-principe. Maar wat kunt u als medewerker doen om dit principe in stand te houden en te verbeteren binnen uw omgeving en werkplek. Hieronder kunt u een aantal tips en maatregelen die u als medewerker kan gebruiken:
- Praat thuis zo min mogelijk over uw werk. Vertel alleen die informatie die u mag delen met derden.
- Als u een tijdje weg moet van uw werkplek, bijvoorbeeld een toilet bezoek, lock uw scherm dan en zet deze op zwart. Zo kunnen er geen pottenkijkers zien waarmee u bezig bent.
- Als u iets verdachts ziet meldt dit dan gelijk bij de juiste persoon. Ga nooit zelf op onderzoek uit.
- Laat geen dingen, zoals een USB stick, slingeren. Zorg dat deze goed opgeborgen ligt en niet kwijt kan raken. Als deze door een derde gevonden wordt is er al een sprake van een datalek.
- Laat nooit dossiers open en bloot liggen op uw bureau. Dan is er minder kans op pottenkijkers of dat niet bevoegde de informatie zien.
- Zorg ervoor dat u zich zo goed mogelijk aan de wet houdt. Zo kunnen veel problemen worden voorkomen.
