Een bedrijf heeft de beschikking over enorm veel informatie. Dit gaat van informatie over de bedrijfsstructuur, tot informatie over klanten. Informatiebeveiliging zorgt ervoor dat informatie niet bij onbevoegden terecht kan komen.
Informatie kan worden ingedeeld in 3 klassen:
- Klasse 1: Publiekelijk
- Klasse 2: Intern
- Klasse 3: Geheim
Klasse 1
Informatie ingedeeld in klasse 1 is informatie dat vrij toegankelijk is. Denk bijvoorbeeld aan informatie over een product op de website van een bedrijf. Een ieder kan deze informatie lezen en dat is ook de reden dat deze informatie vrij beschikbaar is gesteld.
Klasse 2
Informatie dat intern bekend is. Operationele informatie bijvoorbeeld. Nodig om het bedrijf draaiende te houden en werknemers moeten bij delen van deze informatie kunnen. Deze informatie is niet geschikt om publiekelijk te delen. Zo heeft een financiële afdeling inzage nodig in de cijfers, maar de buitenwereld niet. Of het productieproces van een bepaald product. Medewerkers moeten deze informatie hebben om het product te maken. Een buitenwereld mag dit natuurlijk niet weten.
Klasse 3
Informatie dat geheim is. Deze informatie is alleen geschikt voor enkele werknemers in het bedrijf. Een mooi voorbeeld hiervan is Coca Cola. Er zijn maar 2 mensen die weten wat de exacte ingrediënten en verhoudingen zijn voor het maken van deze bekende frisdrank. De overige werknemers beschikken alleen over de informatie die voor hun taak van belang is om de frisdrank te maken. Het complete recept hebben zij niet en is ook niet nodig voor de bedrijfscontinuïteit.
Informatiebeveiliging toepassen
Inventariseren
Om informatiebeveiliging toe te passen moet een bedrijf eerst inventariseren over welke informatie het beschikt. Dit is heel breed en gaat van persoonlijke gegevens van werknemers, tot de folders die bij de balie liggen. Van belang is elk bron van informatie de documenteren.
Analyseren
Nu bekend is welke informatie er is, kan deze worden ingedeeld in een klasse. Hiervoor dient bij elke informatiebron te worden nagegaan of dit publiekelijk, intern, of geheim is. Steeds moeten de volgende vragen worden gesteld:
- Voor wie is deze informatie bedoeld?
- Waarom is deze informatie nodig?
- Wat is de informatie bij onbevoegden terecht komt?
Door het stellen van deze vragen kan je de informatie in gaan delen in de verschillende klassen.
Informatiebeveiliging klasse indeling
Het overzichtelijk aan het werken met klassen is dat per klasse de beveiligingsmaatregelen kunnen worden vastgesteld. Hiermee blijft alles zeer overzichtelijk. Wanneer per informatiebron de beveiliging apart wordt vastgesteld is voor niemand binnen het bedrijf duidelijk welke beveiligingsmaatregelen gelden voor welke bron.
Klasse 1
Deze informatie is publiekelijk en hier zal dan ook geen beveiliging nodig zijn.
Klasse 2
Interne informatie. Om te voorkomen dat dat de buitenwereld deze informatie krijgt is beveiliging nodig. Maar de informatie is nodig om het bedrijf draaiende te houden. Dus voor medewerkers moet deze informatie snel toegankelijk zijn. Uiteraard hoeft een medewerker alleen toegang te de informatie die voor hem/haar noodzakelijk is.
De beveiligingsmaatregelen die hiervoor in aanmerking komen kunnen zijn:
- Toegangspassen.
- Registratie bezoekers.
- Inloggen (computers, software, systemen).
- Sleutels.
Klasse 3
Geheime informatie die voor één/enkele medewerkers beschikbaar moet zijn. In dit geval zal de beveiliging van Klasse 2 verzwaard moeten worden.
- Informatie bewaren in een (digitale) kluis.
- Niet (extern/intern delen.
- Informatie moet in dezelfde ruimte blijven.
- Alleen toegankelijk voor geautoriseerde personen.
Informatiebeveiliging handhaven
De mens is vaak de zwakste schakel in de beveiliging. Voor informatiebeveiliging is dit niet anders. Daarom is het van belang dat iedere medewerker weet hoe hij/zij met zijn informatie om moet gaan. Een leidinggevende zal actief toezicht moeten houden op naleving van de informatiebeveiliging en waar nodig direct handhavend optreden. Indien er niet actief met de informatiebeveiliging wordt omgegaan zullen de beveiligingsmaatregelen al snel geen waarde meer hebben.
Veranderingen in de informatiebeveiliging
Na implementatie is het mogelijk dat bepaalde informatie in een andere klasse hoort. Het is uiteraard altijd mogelijk om dit te veranderen. Mits dit vastgelegd wordt en de betrokken medewerkers op de hoogte worden gesteld. Immers moeten zij nog wel bij die informatie kunnen (of juist niet meer).
Informatiebeveiliging blijft een doorlopend proces. Wanneer de basis goed is kan de informatiebeveiliging met kleine stapjes telkens worden verbeterd. Actief toezicht blijft zeer belangrijk om de beveiliging te waarborgen.