Digitale illustratie over risicobeheer, business continuity en social engineering binnen informatiebeveiliging, passend bij les 3 van de cursus Cybersecurity voor Beginners.

Informatiebeveiliging ISO 27001 basisprincipes: les 3 in de praktijk

Informatiebeveiliging draait niet alleen om techniek, maar ook om voorbereiding op incidenten, menselijk gedrag en continuïteit. Les 3 van mijn opleiding “Cybersecurity voor Beginners” zoomt in op de fundamenten van risicobeheer, het herkennen van manipulatieve tactieken zoals social engineering, en het opstellen van een Business Continuity Plan (BCP). In deze blog behandel ik deze thema’s op basis van mijn huiswerkopgaven en oefenvragen. Zo bouw ik verder aan mijn kennis van de informatiebeveiliging ISO 27001 basisprincipes.

Lees ook mijn vorige blog over vertrouwelijkheid, integriteit en beschikbaarheid als fundament.

Meer weten over ISO 27001? Bekijk de officiële pagina van ISO.org.

Wat is risicobeheer binnen informatiebeveiliging?

Risicobeheer is essentieel om te bepalen welke informatie je moet beschermen, tegen welke dreigingen, en met welke middelen. Een risico ontstaat uit de combinatie van een dreiging en een kwetsbaarheid, waarbij het risico zwaarder weegt naarmate de impact op de organisatie groter is. De kern van risicobeheer ligt in het maken van onderbouwde keuzes over welke risico’s je accepteert, mijdt, beperkt of overdraagt.

  1. Het identificeren van assets (zoals gegevens, systemen) en hun waarde.
  2. Het vaststellen van kwetsbaarheden en bedreigingen.
  3. Het bepalen van de kans op incidenten en de potentiële impact.
  4. Het vinden van een balans tussen de kosten van maatregelen en mogelijke schade.
  5. Het kunnen prioriteren van risico’s op basis van ernst en urgentie.
  • Risicodragend: bewust accepteren van een risico, bijvoorbeeld als maatregelen te duur zijn.
  • Risiconeutraal: dusdanige maatregelen nemen dat de schade beperkt blijft.
  • Risicomijdend: risico’s zoveel mogelijk uitsluiten door preventieve maatregelen.

Een voorbeeld uit de oefenvragen is het niet toepassen van beveiligingspatches op een databasesysteem, waardoor een hacker toegang krijgt. Dit illustreert hoe kwetsbaarheden kunnen leiden tot daadwerkelijke incidenten. In diezelfde oefenvraag werd gevraagd naar de oorzaak van het incident. Foutieve antwoordopties zoals ‘impact’ of ‘dreiging’ zijn niet correct, omdat het de kwetsbaarheid is (de ontbrekende patch) die in dit geval misbruikt werd. Dit onderstreept het belang van begrip van de risicoformule.

Incidentmanagement en de incidentcyclus volgens NIST CSF

  • Identify (Identificeren): weten welke assets je hebt en waar de risico’s liggen.
  • Protect (Beschermen): maatregelen nemen om incidenten te voorkomen.
  • Detect (Opsporen): systemen inzetten om afwijkingen tijdig op te merken.
  • Respond (Reageren): snel reageren bij incidenten om schade te beperken.
  • Recover (Herstellen): terugkeren naar de normale situatie en leren van het incident.

Beveiligingsmaatregelen kunnen binnen verschillende fasen vallen. Zo zijn firewalls en wachtwoordbeleid protectieve maatregelen, terwijl logging detectieve waarde heeft. Het doel is altijd om vertrouwelijkheid, integriteit en beschikbaarheid te waarborgen.

Voorbereiden op het onverwachte: Business Continuity Planning

Een Business Continuity Plan (BCP) is een document waarin staat wat een organisatie moet doen om na een calamiteit door te kunnen functioneren. Het gaat niet alleen om ICT, maar ook om personeel, communicatie, gebouwen en middelen.

In een van de oefenvragen was er sprake van een brand waarbij back-up tapes zijn gesmolten. Dit toont aan hoe belangrijk het is om niet alleen digitale maatregelen te nemen, maar ook fysieke bescherming te overwegen (zoals het opslaan van back-ups op een andere locatie of in de cloud). In deze oefening werd ook gevraagd naar een voorbeeld van directe schade. Foute antwoorden zoals ‘watersnood’ of ‘verbrande papieren’ vallen onder indirecte of bijkomende schade. De schade aan de tapes is direct, omdat dit de integriteit en beschikbaarheid van de informatie direct aantast.

  • Duidelijke procedures en verantwoordelijkheden bij calamiteiten.
  • Communicatieprotocollen.
  • Herstelstrategieën voor IT-systemen.
  • Oefeningen en tests om de effectiviteit te beoordelen.

De menselijke factor: social engineering

Een cruciaal onderdeel van informatiebeveiliging is het herkennen van pogingen tot manipulatie. Social engineering maakt gebruik van psychologische trucs om mensen informatie te ontfutselen. Denk aan een telefonische oplichting waarbij iemand zich voordoet als een receptionist of IT-medewerker.

In de huiswerkcasus werd ik als cursist benaderd door een dame die zich voordeed als hotelreceptioniste. Ze vroeg naar mijn creditcardgegevens, zogenaamd om een fout te corrigeren. Hieruit bleek:

  • Ze verzamelde informatie via observatie bij de incheckbalie.
  • Ze creëerde vertrouwen en een gevoel van urgentie.
  • Ze misbruikte autoriteit en verwarring om de informatie te verkrijgen.
  • De gegevens konden later worden misbruikt voor aankopen of fraude.

In de oefenvraag over soorten dreigingen werd gevraagd naar een voorbeeld van een menselijke dreiging. Het correcte antwoord is social engineering. Andere foutieve opties zoals stroomstoringen (natuurlijke oorzaak) of virussen (technisch) zijn niet ‘menselijke’ dreigingen in deze context. Deze nuance is belangrijk bij het classificeren van dreigingstypen.

Social engineering benadrukt het belang van bewustwordingstrainingen en het principe van verificatie: vertrouw nooit blind op de telefoon of e-mail zonder te controleren of de afzender legitiem is.

Samenvattende inzichten uit mijn huiswerkopdrachten

  • Risicobeheer is niet alleen een theoretisch proces, maar een praktische aanpak die richting geeft aan beveiligingsmaatregelen.
  • Het belang van een BCP wordt vaak onderschat, maar is cruciaal voor elke organisatie.
  • Social engineering is een reële dreiging die je niet met software alleen kunt oplossen.
  • De incidentcyclus van NIST CSF biedt een helder raamwerk om beveiliging structureel te benaderen.
  • Systematische identificatie, detectie en reactie op risico’s zijn essentieel voor weerbaarheid.
  • Het onderscheiden van soorten dreigingen en schade (menselijk, technisch, direct, indirect) vereist inzicht en oefening.

Conclusie

Les 3 liet mij zien dat informatiebeveiliging meer is dan techniek: het gaat om processen, mensen en plannen. Risicoanalyse, het herkennen van manipulatie en het plannen voor herstel maken samen het verschil tussen reactief en proactief beveiligen. Wie de informatiebeveiliging ISO 27001 basisprincipes begrijpt, bouwt niet alleen aan preventie, maar ook aan veerkracht. Daarmee groeit mijn begrip van cybersecurity verder uit tot een praktisch toepasbare skillset.

Volgende blogpost: Wat is informatieclassificatie en waarom is het cruciaal voor ISO 27001? (Les 4)

Laat een reactie achter

Je e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Get A Quote
Get A Quote