Technische maatregelen voor informatiebeveiliging

Inhoud

• Bedrijfsinformatie als begerenswaardig doelwit van aanvallen
• Drie nieuwe maatregelen voor meer informatiebeveiliging
• Verwijderen van informatie
• Maskeren van gegevens
• Preventie van datalekken
• Technische maatregelen voor informatiebeveiliging - een conclusie
• Wat betekent de update voor uw certificering?
• DQS: Uw competente partner voor gecertificeerde informatiebeveiliging

Bedrijfsinformatie is een begeerd doelwit van aanvallen

Het onderzoek "Wirtschaftsschutz 2022" (Bedrijfsbescherming 2022) van de Duitse branchevereniging Bitkom bevestigt dat hackers zich zeer bewust zijn van de economische waarde van informatie en gegevens in de hedendaagse bedrijfswereld: 36 procent van de ondervraagde bedrijven is al getroffen door diefstal van gevoelige gegevens en digitale informatie. Vooral communicatiegegevens (68 procent) en klantgegevens (45 procent) zijn populaire doelwitten.

De schade door chantage, patentinbreuken en omzetverlies die direct toe te schrijven is aan gegevensdiefstal, bedraagt jaarlijks enkele miljarden euro.

Bedrijven en organisaties moeten de bescherming bij de verwerking van hun kritieke gegevens verder verbeteren. Aanvullende richtlijnen helpen om het algehele beveiligingsconcept verder te verbeteren en het aanvalsoppervlak te verkleinen.

Drie nieuwe technische maatregelen voor meer informatiebeveiliging

De 93 maatregelen in Bijlage A van de nieuwe ISO/IEC 27001:2022 zijn onderverdeeld in vier onderwerpen:

• Organisatorische maatregelen
• Persoonlijke maatregelen
• Fysieke maatregelen
• Technische maatregelen

De drie nieuwe maatregelen voor informatiebeveiliging die we hieronder in meer detail zullen bekijken, komen uit het themagebied "Technische maatregelen":

• 8.10 Verwijderen van informatie
• 8.11 Maskeren van gegevens
• 8.12 Voorkomen van uitlekken van gegevens

Verwijdering van informatie

Controle 8.10 in ISO 27001 richt zich op de risico's van informatie die niet langer nodig is, maar zich nog wel op informatiesystemen, apparaten of andere opslagmedia bevindt. Het verwijderen van deze reeds overbodige gegevens voorkomt dat deze openbaar worden gemaakt, zodat wordt voldaan aan de wettelijke, statutaire, reglementaire en contractuele vereisten voor het verwijderen van gegevens.

Hierbij moeten bedrijven en organisaties rekening houden met de volgende punten:

• Het kiezen van een wismethode die geschikt is in het licht van de zakelijke en juridische omgeving, zoals elektronisch overschrijven of cryptografisch wissen
• Documentatie van de resultaten
• Het leveren van bewijs wanneer dienstverleners worden gebruikt om informatie te wissen

Als derden gegevensopslag overnemen namens uw bedrijf, moeten vereisten voor het wissen worden opgenomen in de contractovereenkomst om dit af te dwingen tijdens en zelfs na beëindiging van deze diensten.

Om ervoor te zorgen dat gevoelige informatie op betrouwbare wijze wordt verwijderd - en dat tegelijkertijd het relevante beleid voor gegevensbewaring en de toepasselijke wet- en regelgeving worden nageleefd - voorziet de nieuwe norm in de volgende procedures, diensten en technologieën:

• Opzetten van speciale systemen die een veilige vernietiging van informatie mogelijk maken, bijvoorbeeld volgens het bewaarbeleid of op verzoek van betrokken personen.
• Verwijdering van verouderde versies, kopieën of tijdelijke bestanden op alle opslagmedia
• Gebruik van uitsluitend goedgekeurde en veilige verwijderingssoftware om informatie permanent en voorgoed te verwijderen
• Verwijdering via goedgekeurde en gecertificeerde veilige verwijderingsdienstverleners
• Gebruik van verwijderingsmethoden die geschikt zijn voor het specifieke opslagmedium dat wordt verwijderd, zoals demagnetiseren van harde schijven

Bij het gebruik van cloudservices is het belangrijk om de toelaatbaarheid van de aangeboden verwijderprocedures te controleren. Als deze wordt gegeven, dient de organisatie de verwijderingsprocedure te gebruiken of de cloudaanbieder te verzoeken de informatie te verwijderen. Indien mogelijk moeten deze verwijderingsprocedures worden geautomatiseerd als onderdeel van de onderwerpspecifieke richtlijnen.

Om onbedoelde openbaarmaking van gevoelige informatie te voorkomen, moet alle opslag op apparaten die aan leveranciers worden geretourneerd, worden verwijderd voordat ze worden geretourneerd. Op sommige apparaten, zoals smartphones, is het verwijderen van gegevens alleen mogelijk door middel van vernietiging of interne functies (bijvoorbeeld het herstellen van fabrieksinstellingen). Afhankelijk van de classificatie van de informatie is het belangrijk om een geschikte procedure te kiezen.

Verwijderingsprocessen moeten worden gedocumenteerd, afhankelijk van de gevoeligheid, om in geval van twijfel de verwijdering van gegevens te kunnen bewijzen.

Gegevens maskeren

Voor een reeks gevoelige gegevens, zoals de verwerking van persoonlijke gegevens, schrijven bedrijfs- en branchespecifieke of wettelijke vereisten maskering, pseudonimisering of anonimisering van de informatie voor. Een richtlijn voor deze maatregelen wordt gegeven in Controle 8.11.

Pseudonimiserings- of anonimiseringstechnieken maken het mogelijk om persoonlijke gegevens te verbergen, de echte gegevens te verdoezelen en kruisverbanden van informatie te verdoezelen. Om dit effectief te implementeren, is het belangrijk om alle relevante elementen van gevoelige informatie adequaat aan te pakken.

Terwijl anonimisering de gegevens onherroepelijk verandert, is het in het geval van pseudonimisering goed mogelijk om conclusies te trekken over een ware identiteit via aanvullende kruisinformatie. Daarom moet aanvullende kruisinformatie apart worden gehouden en worden beschermd tijdens het pseudonimiseringsproces.

Andere technieken voor het maskeren van gegevens zijn

• Encryptie
• Nullen of verwijderen van tekens
• Verschillende getallen en datums
• Substitutie - een waarde vervangen door een andere om gevoelige gegevens te verbergen
• Waarden vervangen door hun hash

Bij het implementeren van deze Technische Maatregelen voor Informatiebeveiliging is het belangrijk om met een aantal aspecten rekening te houden:

• Gebruikers moeten geen toegang hebben tot alle gegevens, maar alleen de gegevens kunnen bekijken die ze echt nodig hebben.
• In sommige gevallen moeten niet alle gegevens in een gegevensverzameling zichtbaar zijn voor gebruikers. In dit geval moeten er procedures voor gegevensverduistering worden ontworpen en geïmplementeerd. Voorbeeld: patiëntgegevens in een medisch dossier die niet zichtbaar mogen zijn voor alle medewerkers, maar alleen voor medewerkers met specifieke rollen die relevant zijn voor de behandeling.
• In sommige gevallen mag de versluiering van gegevens niet zichtbaar zijn voor degenen die toegang hebben tot de gegevens (versluiering van versluiering) als er bijvoorbeeld conclusies kunnen worden getrokken over de werkelijke datum via de gegevenscategorie (zwangerschap, bloedtest, enz.).
• Wettelijke of regelgevende vereisten, bijvoorbeeld de vereiste om betaalkaartgegevens te maskeren tijdens verwerking of opslag.

In het algemeen zijn voor het maskeren, pseudonimiseren of anonimiseren van gegevens enkele algemene punten vereist:

• De sterkte van het maskeren, pseudonimiseren of anonimiseren van gegevens hangt grotendeels af van het gebruik van de verwerkte gegevens.
• De toegang tot de verwerkte gegevens moet worden beveiligd door geschikte beschermingsmechanismen.
• Overwegen van overeenkomsten of beperkingen met betrekking tot het gebruik van verwerkte gegevens.
• Verbieden dat verwerkte gegevens worden gekoppeld aan andere informatie om de betrokkene te identificeren.
• Het veilig traceren en controleren van de verstrekking en ontvangst van verwerkte gegevens.

Voorkomen van uitlekken van gegevens

Controle 8.12 is ontworpen om het uitlekken van gegevens te voorkomen en formuleert specifieke maatregelen die moeten worden toegepast op alle systemen, netwerken en andere apparaten die gevoelige informatie verwerken, opslaan of verzenden. Om het lekken van gevoelige gegevens te minimaliseren, moeten organisaties het volgende overwegen:

• Identificeren en classificeren van informatie, bijvoorbeeld persoonlijke gegevens, prijsmodellen en productontwerpen
• Het monitoren van de kanalen waardoor gegevens kunnen uitlekken, zoals e-mail, bestandsoverdracht, mobiele apparaten en mobiele opslagapparaten
• Maatregelen die het uitlekken van gegevens voorkomen, bijvoorbeeld het in quarantaine plaatsen van e-mails met gevoelige informatie

Om datalekken in moderne, complexe IT-structuren met hun veelheid aan verschillende gegevens te voorkomen, hebben organisaties ook geschikte hulpmiddelen nodig om

• Gevoelige informatie te identificeren en bewaken die het risico loopt op ongeautoriseerde openbaarmaking, bijvoorbeeld in ongestructureerde gegevens op het systeem van een gebruiker
• Openbaarmaking van gevoelige gegevens te detecteren, bijvoorbeeld wanneer gegevens worden geüpload naar niet-vertrouwde cloudservices van derden of via e-mail worden verzonden
• Gebruikersacties of netwerkoverdrachten blokkeren die kritieke informatie blootleggen, zoals voorkomen dat databasegegevens naar een spreadsheet worden gekopieerd

Organisaties moeten zich kritisch afvragen of het nodig is om de machtigingen van gebruikers te beperken voor het kopiëren, plakken of uploaden van gegevens naar diensten, apparaten en opslagmedia buiten de organisatie. Indien nodig kan het ook nodig zijn om geschikte hulpmiddelen te implementeren om het lekken van gegevens te voorkomen of om bestaande technologieën op de juiste manier te configureren.

Gebruikers kunnen bijvoorbeeld toestemming krijgen om gegevens op afstand te bekijken en te bewerken, maar niet om deze te kopiëren en te plakken buiten het beheer van je organisatie. Als er toch een gegevensexport nodig is, kan de eigenaar van de gegevens deze per geval goedkeuren en indien nodig gebruikers verantwoordelijk houden voor ongewenste activiteiten.

Het voorkomen van datalekken geldt expliciet ook voor de bescherming van vertrouwelijke informatie of bedrijfsgeheimen die misbruikt kunnen worden voor spionagedoeleinden of van vitaal belang kunnen zijn voor de gemeenschap. In dit geval moeten maatregelen ook ontworpen worden om aanvallers in verwarring te brengen - bijvoorbeeld door vervanging door valse informatie, reverse social engineering of het gebruik van honingpotten om aanvallers te lokken.

Datalekken kunnen worden ondersteund door standaard beveiligingscontroles, bijvoorbeeld via onderwerpspecifiek beleid voor toegangscontrole en veilig documentbeheer (zie ook Maatregelen/controles 5.12 en 5.15).

Belangrijk bij het gebruik van monitoring tools

Om hun eigen informatie te beschermen, monitoren veel tools onvermijdelijk ook de communicatie en online activiteiten van werknemers en berichten van derden. Deze monitoring brengt verschillende juridische problemen met zich mee die moeten worden overwogen voordat de juiste monitoringtools worden gebruikt. Er moet een evenwicht gevonden worden tussen de mate van monitoring en een verscheidenheid aan privacy-, gegevensbeschermings-, arbeids-, gegevensonderscheppings- en telecommunicatiewetgeving.

Technische maatregelen voor informatiebeveiliging - een conclusie.

In de algemene context van de informatiebeveiligingsdoelen vertrouwelijkheid, integriteit en beschikbaarheid spelen de hier beschreven gegevensverwerkingsprocedures een sleutelrol bij het verbeteren van de bescherming van gevoelige gegevens.

Met voortdurende bewaking van de gegevens- en informatiestroom, het afschermen van gevoelige informatie en een strikt beleid voor het wissen van gegevens, kunnen bedrijven hun bescherming tegen gegevenslekken en gegevensverlies duurzaam verbeteren - en de onbedoelde publicatie van kritieke informatie tegengaan. Bovendien leveren de procedures een doorslaggevende bijdrage aan bedrijfsbrede cyberbeveiliging en minimaliseren ze het aanvalsoppervlak voor hackers en industriële spionage.

Voor bedrijven en organisaties is het nu zaak om de procedures en de vereiste hulpmiddelen op de juiste manier in te stellen en te integreren in hun bedrijfsprocessen, zodat ze bij toekomstige certificeringsaudits kunnen aantonen dat ze de vereisten conform de norm implementeren.

Met de professionele kijk van onze ervaren auditors en onze certificeringsexpertise van meer dan 35 jaar, bevelen wij onszelf aan als uw contactpersoon voor de onderwerpen informatiebeveiliging en certificering volgens ISO 27001.

Wat betekent de update voor uw certificering?

ISO/IEC 27001:2022 is gepubliceerd op 25 oktober 2022. Dit resulteert in de volgende deadlines en overgangstermijnen voor gebruikers:

Laatste datum voor initiële en hercertificeringsaudits volgens de "oude" ISO 27001:2013.

• Na 30 april 2024 zal DQS alleen nog initiële en hercertificeringsaudits uitvoeren volgens de nieuwe norm ISO/IEC 27001:2022.

Conversie van alle bestaande certificaten volgens de "oude" ISO/IEC 27001:2013 naar de nieuwe ISO/IEC 27001:2022

• Er is een overgangsperiode van drie jaar vanaf 31 oktober 2022
• Certificaten die zijn uitgegeven volgens ISO/IEC 27001:2013 of EN ISO/IEC 27001:2017 zijn geldig tot uiterlijk 31 oktober 2025 of moeten op deze datum worden ingetrokken.

DQS: Uw competente partner in vragen over gecertificeerde informatiebeveiliging

Dankzij de overgangsperiodes hebben bedrijven genoeg tijd om hun informatiebeveiligingsmanagement aan te passen aan de nieuwe eisen en te laten certificeren. De duur en de inspanning van het hele veranderingsproces moeten echter niet onderschat worden - vooral als u niet beschikt over voldoende gespecialiseerd personeel. Als u het zekere voor het onzekere wilt nemen, moet u het probleem eerder vroeger dan later aanpakken en indien nodig een beroep doen op ervaren specialisten.

Als audit- en certificatie-experts met meer dan 35 jaar expertise ondersteunen wij u graag tijdens een delta-audit. Laat u door onze vele ervaren auditors informeren over de belangrijkste wijzigingen en hun relevantie voor uw organisatie. We kijken ernaar uit van u te horen.

Vertrouwen en expertise

Onze teksten worden uitsluitend geschreven door onze interne managementsysteemexperts en auditors met jarenlange ervaring. Als u vragen hebt voor de auteur, neem dan gerust contact met ons op.