Blog

BLOG: BEDRIJFSKRITISCHE SYSTEMEN


 

Geen enkel bedrijf is hetzelfde, zo heeft ook elk bedrijf andere informatiesystemen. Denk hierbij aan uw HR-systeem, machinesystemen en/of bestandsopslag. Deze informatiesystemen hebben allemaal een andere impact op het bedrijf en haar omgeving, daarom is er per bedrijf een andere aanpak, om het bedrijf te beschermen tegen een overtreding, datalek of stagnatie van een systeem, noodzakelijk.

Bedrijfskritische systemen, essentiële systemen, kroonjuwelen allemaal termen voor de belangrijkste informatiesystemen van een bedrijf. Om hier wat meer duidelijkheid over te krijgen heb ik, voor mijn maandelijkse blog het onderwerp 𝐛𝐞𝐝𝐫𝐢𝐣𝐟𝐬𝐤𝐫𝐢𝐭𝐢𝐬𝐜𝐡𝐞 𝐬𝐲𝐬𝐭𝐞𝐦𝐞𝐧 gekozen.

Investeren in de juiste beveiligingsmaatregelen

Naast dat de bedrijfskritische systemen belangrijk zijn voor continuïteit van een bedrijf, hebben bedrijven vaak te maken met een budget voor beveiligingsmaatregelen.

Daarom is het belangrijk om te kunnen onderbouwen dat dit budget wordt geïnvesteerd in de juiste beveiligingsmaatregelen. Daarvoor moeten niet alleen de bedrijfskritische systemen in kaart worden gebracht, maar ook de bedreigingen voor deze systemen.

Het belang van de informatie op de systemen

Er zijn, in het algemeen, vijf categorieën informatie dat een systeem kan bevatten:

  1. Intellecuteel eigendom; bv. patenten, modellen, onderzoekrapporten etc.
  2. Comerciele-/financiële informatie; bv. bestellingen, facturen, prijzen, offertes etc.
  3. Leveranciers informatie; bv. rekening van materiaal, leveringsschema’s, verzendingsvereisten etc.
  4. Management informatie; bv. financiële rapporten, proces prestaties, audit resultaten etc.
  5. Wet- en regelgevings informatie; bv. contracten, juridisch advies, claims, onderhandelingen etc.
  6. Persoonlijk identificeerbare informatie; salarisgegevens, foto’s, paspoortnummer etc.

Het belang van deze informatie voor het bedrijf hangt af van de corebusiness van het bedrijf. Informatie is het belangrijkste bezit voor organisaties, het is belangrijk om de belangrijkste informatie van een bedrijf vast te stellen en de systemen die hier gebruik van maken.

Veelal is belangrijke informatie tegenwoordig persoonsgevoelige informatie. Dit kan informatie zijn over klanten, medewerkers, etc. Bedrijven moeten daarom extra voorzichtig zijn met deze informatie en identificeren welke systemen persoonsgevoelige informatie bevatten en hoe dit beschermd is.

Om het belang van een informatiesysteem specifiek voor het bedrijf vast te stellen moet de beschikbaarheid, integriteit en vertrouwelijkheid (BIV) geïdentificeerd worden.

Risicobeoordeling bedrijfskritische systemen

Een risicobeoordeling van bedrijfskritische systemen is een proces om de essentiële systemen – en het bijbehorende dreigingslandschap van deze systemen – van een organisatie te identificeren, om zo de prioritering van bedreigingsmaatregelen vast te kunnen stellen.

Voordat de bedrijfskritische systemen kunnen worden vastgesteld, moeten alle informatiesystemen van een bedrijf in kaart worden gebracht. Vervolgens moet, zoals eerder omschreven, de informatie op deze systemen geïdentificeerd worden.  Als laatst, om de bedrijfskritische systemen van een bedrijf te kunnen vaststellen, de VIB van het systeem.

Als de bedrijfskritische systemen zijn vastgesteld moeten de dreigingen per systeem in kaart worden gebracht. Als het duidelijk is welk systeem een bepaalde dreiging geniet, moet de waarschijnlijkheid dat deze dreiging kan plaatsvinden en de impact op het bedrijf vastgesteld worden, om uiteindelijk het risiconiveau van een dreiging op het systeem en het bedrijf te kunnen vaststellen.

Als alle dreigingen per bedrijfskritische systeem en het bedrijf in kaart zijn gebracht, moeten de risicobereidheid en de beheersmaatregelen worden opgesteld. De overweging om maatregelen tegen een dreiging te treffen is: de dreiging vermijden, verminderen, overdragen of accepteren.

Als alle maatregelen over hoe de bedreigingen moeten worden aangepakt zijn bepaald, is het handig om deze in een roadmap te verwerken.

Informatiesystemen zijn de sleutel van de continuïteit van bedrijven, daarom is het erg belangrijk om deze systemen te beveiligen in overeenstemming met hun belang voor het bedrijf.

Wilt u meer informatie over de bedrijfskritische systemen van uw bedrijf en de mogelijke dreigingen van deze systemen? Neem gerust contact met ons op!