In de context van informatiebeveiliging verwijzen de “kroonjuwelen” van een bedrijf naar de meest waardevolle en kritieke gegevens en bedrijfsmiddelen die essentieel zijn voor de bedrijfsvoering. Als deze kroonjuwelen (voor korte of langere tijd) onbeschikbaar zouden zijn, heeft dat zeer grote gevolgen voor de organisatie. Belangrijk dus om de kroonjuwelen te identificeren en goed te beschermen! Dit artikel helpt bij de eerste stappen.
De term kroonjuwelen wordt gebruikt om de belangrijkheid van gegevens en bedrijfsmiddelen te benadrukken en het belang van hun bescherming te onderstrepen. Het concept van kroonjuwelen, het waardevolste bezit voor een bedrijf, helpt hen bij het prioriteren van hun beveiligingsinspanningen, aangezien niet alle gegevens dezelfde waarde of gevoeligheid hebben. Hieronder zijn enkele kenmerken en voorbeelden gegeven die gebruikt kunnen worden om beter te begrijpen wat de kroonjuwelen zouden kunnen zijn:
- Kritieke bedrijfsinformatie: Dit gaat om informatie zoals financiële rapporten, strategische plannen, overnamedocumenten, of andere informatie die concurrentievoordeel biedt. Dit hoeft niet per se een bedrijfsmiddel te zijn: het kan ook kennis zijn wat in de hoofden van het management zit;
- Persoonsgegevens: Denk bijvoorbeeld aan adresgegevens van medewerkers of klantinformatie;
- Intellectueel eigendom: Patenten, handelsgeheimen, formules, broncode van software, en ontwerpen die cruciaal zijn voor het productaanbod en de innovatiekracht van een bedrijf;
- Infrastructuur- en systeemconfiguraties: Belangrijke netwerkinformatie, configuratiegegevens van kritieke systemen, en toegangscontroles die, indien gecompromitteerd, kunnen leiden tot significante beveiligingsinbreuken of uitval van diensten.
De beveiliging van deze kroonjuwelen gaat over een breed scala aan verschillende maatregelen. Het gaat onder andere over versleuteling, toegangscontrole, netwerksegmentatie, monitoring en respons op incidenten. Normaliter worden de maatregelen geïdentificeerd door het uitvoeren van een risicobeoordeling. Organisaties moeten ook rekening houden met fysieke beveiliging, werknemersbewustzijn, en de beveiliging van de toeleveringsketen als onderdeel van hun algehele strategie om deze vitale assets te beschermen.
Identificeren, daarna pas beveiligen
Om te weten wat je moet beschermen, is het belangrijk om te weten wat je moet beschermen. De eerste stap in dit proces is het identificeren van de kroonjuwelen. Wanneer organisaties zich niet (als eerste stap) richten op de meest kritieke gegevens of bedrijfsmiddelen, zie je dat investeringen minder zinvol zijn en maatregelen potentieel minder sterk. Daarom heeft CW Greenport de volgende stappen opgesteld om te helpen bij het identificeren van de kroonjuwelen:
- Stap 1: Wat is écht het belangrijkste?
Denk na over wat echt cruciaal is voor je bedrijf. Welke informatie zou, als je die kwijtraakt of als die gestolen wordt, je bedrijf in grote problemen brengen? - Stap 2: Praat erover
Overleg met je team of collega’s. Zij kunnen andere inzichten hebben over wat belangrijk is. Misschien denk je niet meteen aan klantcontactgegevens of financiële informatie, maar anderen wel. Het is belangrijk anderen te betrekken bij het identificeren van de kroonjuwelen. - Stap 3: Wat is het meest waardevol?
Kijk naar je lijst en vraag jezelf af: Als ik één ding moet kiezen om te beschermen, wat zou dat dan zijn? Dit helpt je om te focussen op wat het belangrijkst is. Deze stap valt samen met de volgende stap - Stap 4: Maak een eerste lijst
Schrijf op wat je allemaal hebt. Dit gaat over computers, bestanden, en alles waar informatie in staat of op wordt bewaard. Je hoeft niet in technische details te treden; houd het bij wat je kent. Sommige organisaties hebben al een lijst met overzichten van hun gegevens en bedrijfsmiddelen. Dit kan als startpunt gebruikt worden. - Stap 5: Controleer de regels
Sommige informatie moet je beschermen omdat de wet dat zegt. Denk bijvoorbeeld aan de AVG en persoonsgegevens: dit kan gaan over gegevens van klanten of werknemers. Wees je bewust van deze verplichtingen en neem dit ook mee in de overwegingen. - Stap 6: Blijf up-to-date
Je bedrijf verandert, dus wat belangrijk is kan ook veranderen. Kijk regelmatig opnieuw naar je lijst en pas aan waar nodig.