Print deze pagina

Informatiebeveiliging

Wat is informatiebeveiliging?

Informatiebeveiliging gaat om de gepaste bescherming van onze informatie. Vaak wordt gedacht dat het voor beveiliging altijd “zo veilig mogelijk” moet zijn, maar dat klopt niet. 100% veilig bestaat nooit en hoe dichter we daar in de buurt komen, hoe meer maatregelen we moeten nemen die hinderlijk of zelfs invasief kunnen zijn. Voor sommige zeer gevoelige gegevens kan dat gepast zijn, maar op andere momenten kunnen we af met minder bescherming.

Bij gegevensbescherming kijken we niet alleen naar de vertrouwelijkheid – dat deze alleen ingezien worden door daardoor bevoegde mensen – maar ook naar de integriteit en beschikbaarheid. Zo willen we graag voldoende zeker zijn dat onze salaris- en onderzoeksgegevens kloppen en dat onze informatiesystemen en data daarin benaderbaar zijn als we ze nodig hebben. Hoe belangrijker het is dat dit het geval is, hoe meer maatregelen we daarvoor nemen.

Het uitgangspunt bij informatiebeveiliging is dat de uitvoeringsorganisatie zelf verantwoordelijk is voor het nemen van de gepaste bescherming. De Chief Information Security Officer (CISO) stelt kaders op die het vertrekpunt zijn voor gepaste bescherming op basis van incidenten en de ontwikkeling van dreigingen om ons heen. Deze kaders worden door de instituten geïmplementeerd of er wordt bewust afgeweken en gekeken hoe de risico’s dan op andere manieren te ondervangen zijn.

Een betrouwbare informatievoorziening is essentieel voor wetenschappelijk onderzoek en het goed functioneren van de bedrijfsvoering processen. Informatiebeveiliging is het proces dat deze betrouwbare informatievoorziening borgt. Het opnemen van informatiebeveiliging als normaal kwaliteitscriterium voor een gezonde bedrijfsvoering is tegenwoordig niet langer een keuze, maar een noodzaak.

Het informatiebeveiligingsbeleid

NWO-I heeft in 2023 het Strategisch Informatiebeveiligingsbeleid NWO-I vastgesteld. Dit document legt de verantwoordelijkheden en uitgangspunten uit van hoe we als organisatie willen omgaan met risicobeheersing omtrent onze gegevensverwerking. In het beleid zijn een aantal principes uitgewerkt die voor ons leidend zijn in deze aanpak.

De 8 principes

  1. Risico-gebaseerd
    We baseren de maatregelen op de mogelijke veiligheidsrisico’s van onze informatie, processen en IT-faciliteiten.
  2. Iedereen
    Iedereen is en voelt zich verantwoordelijk voor een juist en veilig gebruik van middelen en bevoegdheden.
  3. Altijd
    Informatiebeveiliging zit in het DNA van al onze werkzaamheden.
  4. Security-by-Design
    Informatiebeveiliging is vanaf de start een integraal onderdeel van ieder project of iedere verandering mbt informatie, processen en IT-faciliteiten.
  5. Security-by-Default
    Gebruikers hebben alleen toegang tot informatie en IT-faciliteiten die zij nodig hebben voor hun werkzaamheden. Het openstellen van informatie is een bewuste keuze.
  6. Paraatheid
    In de wetenschap dat het altijd mis kan gaan zorgen we voor adequate detectie van mogelijke incidenten en dat we kundig kunnen reageren als deze zich voordoen.
  7. Veilig faciliteren
    Beveiligingsmaatregelen- en procedures hebben de naam belemmerend te zijn. Dit past niet goed meer bij onze hedendaagse manier van werken. De traditionele manier van inperken wordt waar mogelijk vervangen door een aanpak van veilig faciliteren.
  8. Samenwerken
    Door ervaringen uit te wisselen en de samenwerking op te zoeken, zowel in- als extern, wordt het uiteindelijke resultaat voor iedereen beter. Informatiebeveiliging is geen zero-sum game, we beschermen ons tegen dezelfde dreigingen en samenwerking verhoogt onze succeskansen.

Wat kan ik zelf doen?

Als medewerker van NWO-I ben je een belangrijk onderdeel van onze gegevensbescherming. Hier zijn een aantal dingen die je zelf kunt doen:

  • Lees het informatiebeveiligingsbeleid in het document onderaan op de pagina
  • Volg de security & privacy e-learnings op https://investigatesecurity.enter-the-wave.com
  • Meld verdachte situaties bij de informatiebeveiligingsexperts in jouw instituut. Kijk voor meer informatie over het melden van verdachte situaties en incidenten hier.
  • Spreek elkaar aan op verbetermogelijkheden, wees daarbij begripvol en probeer niet defensief te reageren als je zelf ergens op gewezen wordt

Contact

Heb je vragen over informatiebeveiliging, suggesties of opmerkingen? Je kunt ze het beste stellen via de Information Security Officer van je instituut of via een mail aan pki@nwo-i.nl

Confidental Infomation