Voor vrijwel ieder bedrijf geldt dat informatie één van de belangrijkste bezittingen van de onderneming is. Niet alleen klantgegevens, ook informatie over de onderneming zelf wordt over het algemeen digitaal opgeslagen. De digitalisering heeft efficiënt zaken doen in veel branches in een stroomversnelling gebracht, maar brengt ook risico’s met zich mee. Met name bedrijven ouder dan 15 jaar beschikking soms niet over afdoende digitale informatiebeveiliging. Dit maakt de informatie kwetsbaar: hackers uit binnen- en buitenland zouden zichzelf toegang kunnen verschaffen tot de informatie wanneer deze niet goed beschermt is. Een standaardisatie voor informatiebeveiliging is vastgelegd in ISO 27001, soms ook IEC 27001 genoemd.

Informatiebeveiliging ISO 27001 standaardisatie

ISO 27001 is een standaard voor informatiebeveiliging opgesteld door de Internationale Organisatie voor Standaardisatie, die ook verantwoordelijkheid is voor de belangrijkste standaard voor kwaliteitsmanagementsystemen: ISO 9001. Alle overheidsinstellingen in Nederland zijn verplicht om te voldoen aan de ISO 27001 standaard en moeten hiervoor gecertificeerd worden. Deze verplichting bestaat niet voor commerciële bedrijven of NGO’s, maar wordt wel aanbevolen. De internationale standaard is geschikt voor alle instellingen.

Om als bedrijf werk te mogen verrichten voor overheidsinstellingen, is een ISO 27001-certificatie in sommige gevallen vereist. Een bedrijf komt alleen in aanmerking voor een certificatie wanneer de beveiliging van informatie op alle vlakker optimaal is en niet kan worden beïnvloed door derde partijen. Hiervoor moet een aantal stappen doorlopen worden.

De informatiebeveiliging op ISO 27001 brengen

Om de informatiebeveiliging van het bedrijf op een niveau te brengen waarbij certificering mogelijk is, moeten er soms structurele veranderingen worden aangebracht in de bedrijfsvoering. Het proces begint bij een grondige analyse van de huidige staat van informatiebeveiliging. Op alle niveaus moet bekeken worden hoe de informatiebeveiliging ervoor staat en met name waar op dat moment risico’s liggen. Vanuit een risicoanalyse kan vervolgens een stap worden gezet naar verbetering en implementatie van een sterke beveiligingssysteem.

Meer dan bij sommige andere ISO-standaards, staat ook het handelen van werknemers zelf centraal bij certificatie. Verlies van informatie vindt regelmatig plaats door menselijke fouten. Werknemers, van management tot receptie, moeten zich bewust zijn van beveiligingsrisico’s en ten allen tijden handelen volgens een beveiligingsprotocol, waardoor informatie veilig blijft. Met het implementeren van specifieke beveiligingssystemen kunnen gespecialiseerde bedrijven assisteren.

Onderhoud informatiebeveiliging en de toekomst

De technologische ontwikkelingen gaan in de huidige tijd in een moordend tempo. Dit betekent dat de informatiebeveiliging van 2014 niet voldoende is om alle informatie in 2015 optimaal te beschermen. Constante verbeteringen, controles en metingen zijn nodig om de informatiebeveiliging op orde te houden en bovendien de ISO 27001-certificatie te behouden. Hierbij is het belangrijk dat ook de top van de organisatie inziet dat informatiebeveiliging van levensbelang is voor de onderneming. Een goed voorbeeld is de hack van DigiNotar, een bedrijf dat voor overheidsdiensten als DigID beveiligingscertificaten verstrekte. Door een verouderde beveiliging van de systemen van het bedrijf kon het doelwit worden van buitenlandse hacks, waarbij gegevens van Nederlandse inwoners zijn buitgemaakt.