1.2.2.1.1. Informatieveiligheid en beleid
Informatieveiligheid gaat over het beveiligen van informatie. Waarom is dit zo belangrijk? Cybercriminelen worden steeds slimmer en hebben ook steeds meer tools ter beschikking om hun doelen te bereiken. Als overheid moeten we daarnaast ook het voorbeeld geven en ervoor zorgen dat de informatie van haar burgers en van de eigen organisatie beschermd is. Informatiebeveiliging is een werkwoord. Het vraagt om voortdurende aandacht in alle lagen van de organisatie. Het beperkt zich dus niet tot één (ICT) afdeling of tot louter technische maatregelen maar vraagt een zorgvuldige inbedding in de organisatie. Het informatieclassificatieraamwerk of afgekort ICR is gemeenschappelijk voor alle entiteiten van de Vlaamse administratie. Het dient dus als basis voor het eigen informatieveiligheidsbeleid van elke entiteit.
1.2.2.1.2. Informatieveiligheid en haar kwaliteitskenmerken
De beveiliging van informatie houdt in dat zij beschermd wordt tegen onbevoegde toegang en verwerking, waarbij er maatregelen worden genomen om volgende kwaliteitskenmerken te garanderen:
Vertrouwelijkheid: de gegevens zijn alleen toegankelijk voor geautoriseerde personen en entiteiten of voor de juiste processen;
Integriteit: de juistheid en volledigheid van gegevens;
Beschikbaarheid: op het gewenste moment toegang hebben tot gegevens en erover kunnen beschikken.
Dit zijn de 3 kenmerken die we hanteren in het ICR. Ze worden verder uitgediept in 1.3.2. Kwaliteitskenmerken voor ICR . Merk op dat er vaak nog 2 andere kenmerken worden gehanteerd (maar deze zijn niet expliciet opgenomen in het ICR):
Authenticiteit: de mate van betrouwbaarheid van de originaliteit en herkomst van de gegevens;
Onweerlegbaarheid: het kunnen aantonen dat een actie of een gebeurtenis effectief plaatsvond.
Eveneens is het begrip auditeerbaarheid belangrijk, m.a.w. het opspoorbaar zijn van handelingen en activiteiten door bevoegde (of onbevoegde) personen.
In het domein van informatieveiligheid staan vragen centraal zoals: Wie heeft toegang tot welke informatie en wanneer? Zijn de activiteiten, bij het opvragen van informatie, traceerbaar (en dus auditeerbaar)? Hoe beveiligen we de opslag en de uitwisseling van gevoelige informatie tussen verschillende partijen? Wat zijn onze beveiligingsrisico’s en welke maatregelen kunnen we nemen om de risico’s te verminderen en te beantwoorden aan de wetgeving? Hoe kunnen we aantonen dat onze organisatie informatiebeveiliging onder controle heeft? Hoe realiseren we informatiebeveiliging op een effectieve, efficiënte (en kostenefficiënte) manier? Wie is verantwoordelijk voor wat?
Het ICR biedt hierop een antwoord door middel van de classificatie van informatie en de daaraan gekoppelde controlemaatregelen.
1.2.2.1.3. Informatieveiligheid versus informatiebeveiliging
De begrippen ‘informatieveiligheid’ en ‘informatiebeveiliging’ worden vaak simultaan gebruikt. Er is echter een verschil tussen beide begrippen: om informatieveiligheid (doel) te waarborgen, wordt gebruik gemaakt van informatiebeveiliging (maatregelen).
De Vo kiest overwegend voor de term ‘informatieveiligheid’, omdat deze term in de perceptie meer recht doet aan de breedte van het onderwerp dan de term ‘informatiebeveiliging’, dat vaak wordt geassocieerd met ICT.
1.2.2.1.4. Informatieveiligheid versus bescherming van persoonsgegevens
Vaak worden informatieveiligheid en bescherming van persoonsgegevens als hetzelfde beschouwd. Dat is begrijpelijk, want er zijn verschillende raakvlakken. Zo speelt de risico gebaseerde aanpak, waarbij op basis van een risicoanalyse maatregelen worden geselecteerd om de veiligheid van de gegevens te borgen, binnen beide domeinen een centrale rol. En beide domeinen zijn erop gericht om informatieveiligheidsrisico’s te verkleinen. Maar er zijn ook verschillen:
De aard van de risico’s: zowel bescherming van persoonsgegevens als informatieveiligheid beoogt risico’s terug te brengen tot een aanvaardbaar niveau. Maar er zit een verschil in de aard van die risico’s. Bij bescherming van persoonsgegevens draait het om risico’s die impact hebben op mensen. Bij informatieveiligheid draait het niet om de impact voor individuen, maar om het beheersen van bedrijfsrisico’s: informatieveiligheid gaat dan over het beschermen van informatie om de bedrijfsvoering te kunnen garanderen. Oftewel, hoe ervoor zorgen dat de juiste mensen en systemen toegang hebben tot de juiste informatie op het juiste moment.
Al dan niet aanvaarden van risico’s: bij het beheersen van risico’s wordt er bekeken of er al dan niet actie moet worden genomen. Organisaties bepalen zelf hoeveel risico zij bereid zijn om te nemen. Sommige organisaties zijn risico avers en zullen er alles aan doen om deze bedrijfsrisico’s zo klein mogelijk te houden. Andere organisaties hebben een grotere risico appetijt en zijn bereid om meer risico te accepteren, als daar een potentieel voordeel tegenover staat. Binnen de Vo moet risicoacceptatie op het juiste managementniveau gebeuren afhankelijk van het risico; indien een risico rechtstreeks impact heeft op andere Vo entiteiten moet hiermee rekening worden gehouden. De afweging hoeveel bedrijfsrisico wordt genomen is dus aan de Vo zelf. Gaat het echter over bescherming van persoonsgegevens, dan geldt er strikte wetgeving, namelijk de AVG. Het accepteren van risico’s voor persoonsgegevens zou een directe inbreuk van de AVG kunnen betekenen, waardoor het geen optie meer is om die risico’s te accepteren. Organisaties zullen in die gevallen dan noodgedwongen moeten kiezen voor het vermijden of verkleinen van risico’s.
Natuurlijk zijn er ook raakvlakken: waar een organisatie technische en organisatorische maatregelen inricht om bedrijfsinformatie te beschermen, zijn die er ook om persoonsgegevens die de organisatie verwerkt, te beveiligen.
Bij bescherming van persoonsgegevens staat dus veel meer de mens (persoon van wie gegevens opgeslagen/verwerkt worden) centraal, waar bij informatiebeveiliging de gegevens zelf en de verantwoordelijke organisatie centraal staan.
Binnen organisaties zien we dan ook vaak dat verschillende partijen zich bezighouden met informatieveiligheid dan wel bescherming van persoonsgegevens: informatieveiligheid is het domein van de CISO (Chief Information Security Officer) terwijl de DPO (Data Protection Officer) zich buigt over de bescherming van persoonsgegevens en conformiteit met de betreffende wetgeving. Men zou kunnen stellen dat de technisch/organisatorische bescherming van informatie en persoonsgegevens het domein is van de CISO terwijl de conformiteit met AVG het werkgebied is van de DPO