Het belang van informatiebeveiliging is bij de meeste organisaties wel bekend. Toch blijken zij in praktijk nog veel moeite te hebben met het treffen van de juiste maatregelen. Peter Westerveld van Sincerus Consultancy benoemt de 10 meest voorkomende fouten die organisaties maken op het gebied van beveiliging.

1. Onvoldoende kennis
Veel organisaties denken dat hun informatiebeveiliging op orde is, terwijl zij dit eigenlijk niet goed kunnen beoordelen. Informatiebeveiliging is een specialistisch vakgebied en daarom is het voor de meeste bedrijven ondoenlijk om deze kennis zelf diepgaand in huis te hebben. In het kader van kostenbesparing schakelen zij vaak niet de hulp in van externe deskundigen. De beveiliging blijft hierdoor gebrekkig, waardoor de kans op incidenten groter wordt.

2. Geen overkoepelend beleid
Samenhang tussen de verschillende beveiligingsmaatregelen, richtlijnen en toezicht op het naleven van de afspraken zijn voorwaarden voor effectieve bescherming van informatie. Wanneer er geen duidelijk beleid is, blijft de beveiliging volledig afhankelijk van het eigen inzicht van beheerders. De beveiliging is hierdoor minder effectief.

3. Risico’s onduidelijk
Om de juiste beslissingen te kunnen nemen, moet eerst bekend zijn wat de risico’s zijn. Beveiliging is maatwerk en hiervoor is een grondige analyse van de risico’s voor de primaire en secundaire bedrijfsprocessen cruciaal. Zonder deze kennis kan geen gedegen security architectuur worden uitgewerkt.

4. Infrastructuur wordt onvoldoende getoetst op technische kwetsbaarheden
Veel organisaties zijn van mening dat het voldoende is om eenmalig de IT-infrastructuur te testen op technische kwetsbaarheden. Doordat er steeds weer nieuwe bedreigingen zijn, blijft het belangrijk dat er regelmatig getoetst wordt.

5. Wel back-up, maar geen restore-test
Het maken van back-up’s is bij de meeste organisaties goed geregeld, maar er wordt doorgaans geen restore-test uitgevoerd. Bedrijven komen er hierdoor vaak pas achter dat een back-up corrupt is, als ze hem ook daadwerkelijk nodig hebben.

6. Geen encryptie bij laptops en PDA’s
Laptops en PDA’s zijn diefstalgevoelige apparaten die vaak ook vertrouwelijke bedrijfsgegevens bevatten. Het is daarom belangrijk dat er volledige disc-encryptie wordt toegepast. Alleen encryptie van een partitie biedt onvoldoende bescherming.

7. Autorisatieprocedure onduidelijk
Uitgifte van autorisatie is bij de meeste organisaties een goedlopend proces. Een nog belangrijker proces is het intrekken van autorisatie als medewerkers veranderen van functie of het bedrijf verlaten. Dit laatste is bij de meeste bedrijven niet goed ingericht.

8. Onvoldoende aandacht voor de medewerkers
De mens blijft de zwakste schakel in de informatieketen. De medewerkers moeten dus bewust worden gemaakt van hun rol in informatiebeveiliging.

9. Informatiebeveiliging ontbreekt op de agenda bij veranderprocessen
In het veranderproces zijn vaak geen criteria opgenomen om informatiebeveiliging te borgen. De security manager of een gedelegeerde zou eigenlijk permanent deel uit moeten maken van het Change Advisory Board (CAB).

10. Open ontwikkelomgeving
Ontwikkel-, test- en productieomgevingen moeten fysiek gescheiden worden. Het komt vaak voor dat er een verbinding tussen de omgevingen aanwezig is of erger nog, dat ontwikkeling en testen in de productieomgeving wordt uitgevoerd. Informatie die niet voor iedereen bestemd is, moet goed worden afgeschermd.

Beveiliging Gids: Sincerus Consultancy