.
datenschutz-it-blog-dqs-mensch bewegt digitale anzeige

IT-beveiliging vs. informatiebeveiliging - wat is het verschil?

André Saeckel

DQS-standaarddeskundige voor informatiebeveiliging
nov. 12 , 2022
# Informatiebeveiliging versus IT-beveiliging

Twee zaken die vaak met elkaar worden verward: beveiliging van informatietechnologie (IT) en informatiebeveiliging. In tijden van digitalisering wordt informatie meestal met behulp van IT verwerkt, opgeslagen of getransporteerd - maar vaak is informatiebeveiliging nog steeds meer analoog dan we zouden denken! IT-beveiliging en informatiebeveiliging zijn in wezen nauw met elkaar verbonden. Een systematische aanpak is dan ook vereist voor een doeltreffende bescherming van vertrouwelijke informatie, alsook van de IT zelf.

INHOUD

IT-beveiliging vs. informatiebeveiliging

Informatiebeveiliging is meer dan alleen IT-beveiliging. Het richt zich op de gehele onderneming. De beveiliging van vertrouwelijke informatie is immers niet alleen gericht op gegevens die door elektronische systemen worden verwerkt. Informatiebeveiliging omvat alle bedrijfsmiddelen die beschermd moeten worden, ook die op analoge gegevensdragers zoals papier.

"IT-beveiliging en informatiebeveiliging zijn twee termen die (nog) niet uitwisselbaar zijn."

Beschermingsdoelstellingen van informatiebeveiliging

De drie essentiële beschermingsdoelen van informatiebeveiliging - vertrouwelijkheid, beschikbaarheid en integriteit - gelden dus ook voor een brief met belangrijke contractuele documenten, die op tijd, betrouwbaar en ongeschonden bij de ontvanger moet aankomen, vervoerd door een koerier, maar geheel analoog. En deze beschermingsdoelstellingen gelden evenzeer voor een blad papier dat vertrouwelijke informatie bevat, maar dat op een onbeheerd bureau ligt zodat iedereen het kan zien of dat in het kopieerapparaat ligt te wachten, vrij toegankelijk, op toegang door onbevoegden.

Informatiebeveiliging heeft dus een bredere reikwijdte dan IT-beveiliging. IT-beveiliging daarentegen heeft "alleen" betrekking op de bescherming van informatie op IT-systemen.

IT-beveiliging volgens de definitie

Wat zeggen officiële instanties? IT-security is "een toestand waarin de risico's die bij het gebruik van informatietechnologie aanwezig zijn als gevolg van bedreigingen en kwetsbaarheden, door passende maatregelen tot een aanvaardbaar niveau worden teruggebracht. IT-beveiliging is dus de toestand waarin vertrouwelijkheid, integriteit en beschikbaarheid van informatie en informatietechnologie door passende maatregelen worden beschermd." Aldus het Duitse Bundesamt für Informationssicherheit (BSI).

Informatiebeveiliging= IT-beveiliging plus X

In de praktijk wordt soms voor een andere benadering gekozen, waarbij de vuistregel "informatiebeveiliging = IT-beveiliging + gegevensbescherming" wordt gehanteerd. Deze uitspraak, neergeschreven als een vergelijking, is echter nogal opvallend. Weliswaar gaat het bij gegevensbescherming in het kader van de Europese GDPR om de bescherming van de persoonlijke levenssfeer, waardoor verwerkers van persoonsgegevens over zowel beveiligde IT als bijvoorbeeld een beveiligde gebouwomgeving moeten beschikken - waardoor fysieke toegang tot klantgegevensrecords wordt uitgesloten. Belangrijke analoge gegevens waarvoor geen persoonlijke levenssfeer vereist is, blijven hierdoor echter buiten beschouwing. Bijvoorbeeld bouwplannen van bedrijven en nog veel meer.

De term informatiebeveiliging bevat fundamentele criteria die verder gaan dan zuivere IT-aspecten, maar deze altijd omvatten. Zo worden zelfs eenvoudige technische of organisatorische maatregelen in het kader van de IT-beveiliging altijd genomen tegen de achtergrond van een passende informatiebeveiliging. Voorbeelden hiervan kunnen zijn:

  • Beveiliging van de stroomvoorziening van de hardware
  • Maatregelen tegen oververhitting van de hardware
  • Virusscans en beveiligde programma's
  • Organisatie van mappenstructuren
  • Opzetten en bijwerken van firewalls
  • Opleiding van werknemers, enz.

Het ligt voor de hand dat computers en complete IT-systemen op zichzelf niet hoeven te worden beschermd. Immers, zonder informatie die digitaal verwerkt of getransporteerd moet worden, worden hard- en software nutteloos.

webinar-dqs-junger-mann-mit-headset-sitzt-vor-einem-laptop

Bekijk het nu: wat verandert er met de nieuwe ISO/IEC 27001:2022

Op 25 oktober 2022 is de nieuwe versie van ISO/IEC 27001 gepubliceerd, aangepast aan hedendaagse informatierisico's. Wat betekent dit voor gebruikers van de norm? In onze gratis webinaropname komt u meer te weten over 

  • Nieuwe kenmerken van ISO/IEC 27001:2022 - Framework en Annex A 
  • ISO/IEC 27002:2022-02 - structuur, inhoud, attributen en hashtags 
  • Tijdlijn voor de overgang en de volgende stappen
Bekijk de opname!

IT-beveiliging bij wet, een voorbeeld uit Duitsland

Het onderwerp van CRITIS: De wet IT-beveiliging richt zich op kritieke infrastructuren uit verschillende sectoren, zoals elektriciteit, gas- en watervoorziening, vervoer, financiën, voedsel en gezondheid. Hier ligt de klemtoon op de bescherming van IT-infrastructuur tegen cybercriminaliteit om de beschikbaarheid en de veiligheid van IT-systemen te handhaven. Met name de huidige digitaal gestuurde telecontrolesystemen moeten worden beschermd.

Deze beschermingsdoelstellingen staan op de voorgrond (uittreksel):

  • Inschatting van IT-beveiligingsrisico's
  • Creatie van IT-beveiligingsconcepten
  • Het opstellen van noodplannen
  • Het nemen van algemene veiligheidsmaatregelen
  • Controle van internetbeveiliging
  • Gebruik van cryptografische methoden, enz.

ISO 27001 - De norm voor informatiebeveiliging

Wat zegt ISO 27001? De wereldwijd erkende norm voor een beheersysteem voor informatiebeveiliging (ISMS), met de afgeleiden ISO 27019, ISO 27017 en ISO 27701, wordt genoemd:

ISO/IEC 27001:2017 - Informatietechnologie - Beveiligingstechnieken - Informatiebeveiligingsmanagementsystemen - Eisen (ISO/IEC 27001:2013 inclusief Cor 1:2014 en Cor 2:2015).

De herziene versie is gepubliceerd op 25 oktober 2022. Wij zullen informatie over de wijzigingen blijven toevoegen zodra deze beschikbaar komt.

De titel van deze belangrijke norm maakt duidelijk dat IT-beveiliging vandaag de dag een belangrijke rol speelt in de informatiebeveiliging en in de toekomst nog aan belang zal winnen. De eisen die in ISO 27001 worden gesteld, zijn echter niet direct alleen gericht op digitale IT-systemen. Integendeel:

"In ISO/IEC 27001 wordt over de hele lijn, zonder uitzondering, naar "informatie" verwezen."

In principe wordt geen onderscheid gemaakt naar de analoge of digitale wijze waarop deze informatie wordt verwerkt of moet worden beschermd.

Ga voor meer waardevolle kennis over informatiebeveiliging en de mogelijkheid van een beoordeling naar de pagina over ISO 27001

Een succesvol geïmplementeerd ISMS ondersteunt een holistische veiligheidsstrategie: het omvat organisatorische maatregelen, veiligheidsbewust personeelsmanagement, de beveiliging van ingezette IT-structuren en de naleving van wettelijke voorschriften.

Waardevolle knowhow: de DQS-auditgids

Onze auditgids ISO 27001 - Annex A is gemaakt door vooraanstaande experts als een praktische implementatiehulp en is ideaal om geselecteerde normvereisten beter te begrijpen. De leidraad is gebaseerd op ISO/IEC 27001:2017. Aangezien de herziene versie op 25 oktober 2022 is gepubliceerd, zullen we informatie over de wijzigingen toevoegen zodra deze beschikbaar zijn.  

Download de gids gratis

Informatiebeveiliging vaak meer analoog dan we denken

Wie zou willen, zou de standaardvereisten van ISO 27001 kunnen toepassen op een volledig analoog systeem en net zo ver komen als iemand die de vereisten toepast op een door en door digitaal systeem. Alleen in bijlage A van de bekende ISMS-norm, die maatstaven en doelstellingen voor gebruikers bevat, komen termen voor als telewerken of mobiele apparaten. Maar zelfs de maatregelen in bijlage A van de norm herinneren ons eraan dat er in elk bedrijf nog analoge processen en situaties zijn waarmee op het gebied van informatiebeveiliging rekening moet worden gehouden.

Wie in het openbaar, bijvoorbeeld in de trein, via een smartphone luidkeels over gevoelige onderwerpen spreekt, maakt misschien gebruik van digitale communicatiekanalen, maar zijn wangedrag is eigenlijk analoog. En wie zijn bureau niet opruimt, kan maar beter zijn kantoor op slot doen om de vertrouwelijkheid te bewaren. Tenminste het eerste, als een van de meest effectieve afzonderlijke maatregelen om informatie veilig te beschermen, wordt meestal nog met de hand gedaan, tot nu toe...

IT-beveiliging vs. Informatiebeveiliging - Conclusie

IT-beveiliging en informatiebeveiliging zijn twee termen die (nog) niet onderling uitwisselbaar zijn. Veeleer is IT-beveiliging een onderdeel van informatiebeveiliging, die op haar beurt ook analoge feiten, processen en communicatie omvat - wat overigens vandaag de dag nog in veel gevallen gebruikelijk is. Door de toenemende digitalisering komen deze begrippen echter steeds dichter bij elkaar te liggen, zodat het verschil in betekenis op de lange termijn waarschijnlijk marginaler zal worden.

Wat u van ons kunt verwachten

DQS is uw specialist voor audits en certificeringen - voor managementsystemen en processen. Met 35 jaar ervaring en de knowhow van 2.500 auditors wereldwijd zijn wij uw competente certificatiepartner voor alle aspecten van informatiebeveiliging en gegevensbescherming.

fragen-antwort-dqs-fragezeichen auf wuerfeln aus holz auf tisch

Hebt u vragen?

Neem contact met ons op!
Zonder verplichting en gratis.

Contacteer ons

Wij praten niet alleen over vakbekwaamheid, wij hebben het ook: Van al onze DQS-auditors mag u vele jaren praktische beroepservaring verwachten. Verzameld in organisaties van elke omvang en elke branche. Met deze diversiteit is het gegarandeerd dat uw DQS lead auditor zich inleeft in uw individuele bedrijfssituatie en managementcultuur. Onze auditors kennen managementsystemen uit eigen ervaring, d.w.z. dat zij zelf ISMS hebben opgezet, beheerd en verder ontwikkeld - en zij kennen de dagelijkse uitdagingen uit eigen ervaring. Wij verheugen ons op een gesprek met u.

Auteur
André Saeckel

Productmanager bij DQS voor informatiebeveiligingsmanagement. Als normenexpert op het gebied van informatiebeveiliging en IT-beveiligingscatalogus (kritieke infrastructuren) is André Säckel onder andere verantwoordelijk voor de volgende normen en branchespecifieke normen: ISO 27001, ISIS12, ISO 20000-1, KRITIS en TISAX (informatiebeveiliging in de automobielindustrie). Hij is ook lid van de werkgroep ISO/IEC JTC 1/SC 27/WG 1 als nationaal afgevaardigde van het Duitse normalisatie-instituut DIN.

Hebt u vragen?

Wij zijn er voor u.
Neem contact met ons op