Ontdek de bouwstenen voor securitybeleid mobiel werken

Bij mobiel werken is security heel belangrijk. Maar hoe richt je dat in? Beleid is een belangrijke eerste stap. We zetten een aantal zaken op een rij voor organisaties die zich oriënteren op het maken of aanscherpen van securitybeleid.

Verlies van data kan bedrijven op hoge boetes komen te staan. En los van de financiële schade is een beveiligingsprobleem funest voor het imago van het bedrijf en het vertrouwen van klanten. Met de toename van mobiele apparaten en complexe ict-omgevingen liggen risico’s op de loer. De vraag naar securitybeleid neemt daarom toe.

KPN deelt kennis

Bedrijven zijn volop bezig met het opzetten van securitybeleid. Maar waar begin je? KPN deelde onlangs een app waarin het zijn securitybeleid en richtlijnen voor de beveiliging van ict deelt. Die documenten geven een interessant inzicht in hoe een bedrijf als KPN met dit onderwerp bezig is. De app biedt tal van handvatten die interessant kunnen zijn voor het aanscherpen van het beveiligingsbeleid binnen jouw organisatie.

Ethische hacker inhuren

De informatiebeveiliging en bedrijfscontinuïteit wordt binnen KPN gewaarborgd door een team aan beveiligingsexperts. Dat team bestaat bij KPN uit 4 onderdelen. Strategie & Beleid (preventie), CISO red-team (proactieve detectie met behulp van ethische hackers), KPN-CERT (Computer Emergency Response Team) (respons) en Senior Security Officers (verificatie).

Afhankelijk van de grootte van jouw organisatie is het misschien niet haalbaar om deze opzet te volgen. Maar bedenk wel dat overheidspartijen en organisaties die persoonsgegevens van meer dan 5.000 individuen verwerken, verplicht zijn een privacy officer aan te wijzen.

Beleid vastleggen in documenten

De KPN-app bestaat uit een serie documenten waarin het beleid vastligt. Het gaat om documenten voor:

  • Beveiligingsbeleid op hoofdniveau
  • Security- en continuïteit
  • Human Resource (HR)
  • Omgang met bedrijfsinformatie
  • Fysieke security
  • Systeem- en netwerksecurity
  • Innovatie en ontwikkeling
  • De relatie met leveranciers
  • Incidentmanagement
  • Bedrijfscontinuïteit
  • Specifieke wet- en regelgeving die geldt voor de geleverde producten of diensten

Maar KPN’s Chief Information Security Officer (CISO) Jaya Baloo benadrukt dat het veiligheidsbeleid constant moet worden aangepast aan de actualiteit. Ze stelt dat het beleid meer een wiki is dan een wet, waarmee ze bedoelt dat de regels regelmatig aangepast kunnen worden. ‘De sleutel tot een volwassen beveiliging ligt in constante verbetering’, stelt ze.

Tools voor CVSS en PHOSI

Naast de trits aan documenten met beleid bevat de app ook een aantal tools. Met die hulpmiddelen krijgen gebruikers een beter beeld van de impact van bepaalde beveiligingsincidenten. Zo beschikt de app over een tool waarmee security-medewerkers hun beleid kunnen toetsen. Het maakt bijvoorbeeld gebruik van CVSS (Common Vulnerability Scoring System), een standaardmethode voor het beoordelen van kwetsbaarheden.

Aan de hand van variabelen zoals vertrouwelijkheid, beschikbaarheid en toegang tot bepaalde data wordt de noodzaak voor een respons in beeld gebracht. En met de PHOSI (Potential Harm Of Security Incident) wordt de kans dat een incident plaatsvindt en de mogelijke financiële schade berekend.

Feedback

KPN staat middels deze app ook open voor feedback van mensen binnen en buiten de eigen organisatie. ‘Naast de inspanningen van de eigen ethische hackers werken we graag samen met iedere partij die een potentieel beveiligingslek identificeert.’

Het bedrijf benadrukt dat kennis en ervaring op verantwoordelijke wijze wordt gebruikt. Deelnemers moeten de zogenoemde responsible disclosure-procedure in acht nemen. Daarin staat hoe derden op een verantwoorde wijze kwetsbaarheden in de beveiliging van de infrastructuur en ict-systemen kunnen rapporteren aan een bedrijf of organisatie.

Lees ook