Word partner
Word gematcht
IBgidsNL
Vind een aanbieder
Bedrijven 643 cybersecurity aanbieders ZZP'ers Freelance security professionals Sprekers Experts voor jouw event
Governance, Risk & ComplianceTraining & AwarenessSecurity AssessmentsIdentity & Access ManagementCloud SecurityEndpoint SecurityNetwork SecurityMonitoring & Incident ResponseManaged Security ServicesData SecuritySoftware SecurityTalent & Staffing
MKBOverheidOnderwijsZorgITTransportTelecomIndustrieRetailFinancieelEnergieDefensie
Werk & events
Vacatures Cybersecurity banen in Nederland Evenementen Conferenties, meetups en training
Kennisbank
Nieuws Laatste cybersecurity-nieuws Blog Artikelen en inzichten Bedrijfsupdates Updates van partners Externe bronnen Geselecteerde bronnen Woordenboek Cybersecurity begrippen Auteurs Onze kennisexperts
Aanmelden
Bedrijf aanmelden Kom op IBgidsNL als aanbieder ZZP'er aanmelden Meld je profiel aan als freelancer Spreker aanmelden Voor events en lezingen Auteur aanmelden Schrijf voor IBgidsNL
Word gematcht

Beheersmaatregel

Verdediging

Een activiteit met als doel om de oorzaak of het gevolg van een ongewenste gebeurtenis te voorkomen, weg te nemen, of te verkleinen.

Een beheersmaatregel is een specifieke maatregel die wordt geimplementeerd om informatiebeveiligingsrisico's te beheersen, te verminderen of te elimineren. Beheersmaatregelen vormen de concrete acties en controles waarmee organisaties hun informatie, systemen en processen beschermen tegen cyberdreigingen. Ze worden ook wel security controls genoemd en zijn het fundament van elk informatiebeveiligingsmanagementsysteem.

Beheersmaatregelen in ISO 27001

De internationale standaard ISO 27001 is het meest gebruikte raamwerk voor het implementeren van beheersmaatregelen. De meest recente versie, ISO/IEC 27001:2022, bevat 93 beheersmaatregelen in Annex A, georganiseerd in vier thematische categorieen. Elke maatregel beschrijft wat je moet doen om een specifiek beveiligingsrisico te adresseren, terwijl de aanvullende standaard ISO 27002 gedetailleerde implementatierichtlijnen biedt.

De vier categorieen in de huidige versie zijn: organisatorische beheersmaatregelen, mensgerichte beheersmaatregelen, fysieke beheersmaatregelen en technologische beheersmaatregelen. Deze indeling weerspiegelt het feit dat cybersecurity niet alleen een technisch vraagstuk is, maar ook organisatorische processen, menselijk gedrag en de fysieke omgeving omvat. Een effectieve beveiligingsstrategie adresseert alle vier de dimensies in samenhang.

Organisatorische beheersmaatregelen

Organisatorische beheersmaatregelen richten zich op het inrichten van beleid, processen en verantwoordelijkheden. Dit omvat het opstellen van een informatiebeveiligingsbeleid, het toewijzen van rollen en verantwoordelijkheden, het classificeren van informatie en het beheren van relaties met leveranciers en partners. Deze maatregelen leggen het fundament waarop alle andere beveiligingsmaatregelen rusten.

Een belangrijk organisatorisch aspect is het management van informatiebeveiliging als continu proces. De PDCA-cyclus (Plan-Do-Check-Act) vormt de basis voor continue verbetering. Je plant je beveiligingsmaatregelen, voert ze uit, controleert of ze effectief zijn en past ze aan waar nodig. Dit voorkomt dat beheersmaatregelen verouderen en niet meer effectief zijn tegen actuele dreigingen.

Technologische beheersmaatregelen

Technologische beheersmaatregelen omvatten de technische middelen waarmee je je systemen en data beschermt. Hieronder vallen authenticatiemechanismen, toegangsrechten in software, bescherming tegen virussen en malware, capaciteitsbeheer, backupbeleid, netwerksegmentatie, cryptografie en het principe van security by design. Deze maatregelen vormen de technische verdedigingslinie tegen cyberaanvallen.

Een effectieve technologische beheersmaatregelset werkt in lagen, volgens het defense-in-depth principe. Geen enkele maatregel is op zichzelf afdoende, maar de combinatie van meerdere lagen zorgt ervoor dat een aanvaller meerdere barrires moet doorbreken. Firewalls, intrusion detection systems, endpoint protection, encryptie en multi-factor authenticatie vormen samen een robuust verdedigingssysteem.

Mensgerichte beheersmaatregelen

Mensgerichte beheersmaatregelen adresseren de menselijke factor in informatiebeveiliging. Hieronder vallen screeningprocedures bij het aannemen van personeel, security awareness-trainingen, disciplinaire processen bij overtredingen en procedures voor het beeindigen van dienstverbanden. Medewerkers zijn vaak de zwakste schakel in de beveiligingsketen, maar met de juiste maatregelen kun je hen transformeren tot een sterke verdedigingslinie.

Regelmatige training en bewustwording zijn essentieel. Medewerkers moeten phishing herkennen, weten hoe zij omgaan met vertrouwelijke informatie en begrijpen waarom beveiligingsprocedures bestaan. Een cultuur waarin medewerkers zich veilig voelen om beveiligingsincidenten te melden, is minstens zo belangrijk als de technische maatregelen die je implementeert.

Fysieke beheersmaatregelen

Fysieke beheersmaatregelen beschermen de fysieke omgeving waarin informatiesystemen opereren. Toegangscontrole tot serverruimtes, bewakingscamera's, brandbeveiliging, klimaatbeheersing en beveiligde opslag van media zijn voorbeelden van fysieke maatregelen. In een tijdperk waarin veel aandacht uitgaat naar digitale dreigingen, worden fysieke maatregelen soms onderschat, maar een indringer die fysiek toegang heeft tot je servers kan alle digitale beveiligingsmaatregelen omzeilen.

Clean desk-beleid, het vergrendelen van werkstations bij afwezigheid en het veilig vernietigen van vertrouwelijke documenten en opslagmedia zijn dagelijkse fysieke maatregelen die elke medewerker kan toepassen. Deze ogenschijnlijk eenvoudige maatregelen voorkomen dat gevoelige informatie letterlijk voor het oprapen ligt.

De verklaring van toepasselijkheid

Een verklaring van toepasselijkheid, ook wel Statement of Applicability genoemd, is een verplicht document binnen ISO 27001 dat beschrijft welke beheersmaatregelen uit Annex A van toepassing zijn op jouw organisatie en welke niet. Voor elke maatregel moet je onderbouwen waarom deze wel of niet is geimplementeerd. Dit document vormt de brug tussen je risicoanalyse en je daadwerkelijke beveiligingsmaatregelen.

Het opstellen van een verklaring van toepasselijkheid dwingt je om bewust na te denken over elk beveiligingsaspect. Je kunt niet zomaar maatregelen overslaan; elke uitsluiting moet gemotiveerd worden. Dit systematische proces helpt om blinde vlekken in je beveiliging te identificeren en zorgt voor een gedocumenteerde en navolgbare beveiligingsaanpak.

Beheersmaatregelen selecteren en implementeren

De selectie van beheersmaatregelen begint bij een grondige risicoanalyse. Je identificeert de dreigingen voor je organisatie, schat de waarschijnlijkheid en impact in en bepaalt welke maatregelen het meest effectief zijn om de risico's tot een aanvaardbaar niveau te reduceren. Niet elk risico vereist een technische oplossing; soms is een organisatorische maatregel of een bewustwordingscampagne effectiever en kostenefficienter.

De implementatie van beheersmaatregelen is geen eenmalige exercitie maar een doorlopend proces. Dreigingen evolueren, technologieen veranderen en je organisatie ontwikkelt zich. Regelmatige evaluatie en aanpassing van je maatregelenpakket is essentieel om effectief te blijven. Op IBgidsNL vind je beveiligingsspecialisten die je helpen bij het selecteren, implementeren en onderhouden van de juiste beheersmaatregelen voor jouw organisatie.

FAQ

Hoeveel beheersmaatregelen bevat ISO 27001?

De huidige versie ISO/IEC 27001:2022 bevat 93 beheersmaatregelen in Annex A, verdeeld over vier categorieen: organisatorisch, mensgericht, fysiek en technologisch. De vorige versie uit 2013 bevatte 114 maatregelen in veertien categorieen. De herstructurering maakt het raamwerk overzichtelijker en beter toepasbaar.

Moet ik alle 93 beheersmaatregelen implementeren?

Nee, je implementeert de maatregelen die relevant zijn voor jouw specifieke risicoprofiel. De risicoanalyse bepaalt welke maatregelen van toepassing zijn. Voor elke maatregel die je niet implementeert, moet je in de verklaring van toepasselijkheid onderbouwen waarom deze niet nodig is voor jouw situatie.

Wat is het verschil tussen beheersmaatregelen in ISO 27001 en ISO 27002?

ISO 27001 Annex A somt de beheersmaatregelen op en beschrijft kort wat elke maatregel behelst. ISO 27002 biedt voor dezelfde maatregelen uitgebreide implementatierichtlijnen en praktische voorbeelden. ISO 27001 is de certificeerbare norm, ISO 27002 is de implementatiehandleiding.

Hoe meet ik de effectiviteit van mijn beheersmaatregelen?

Gebruik key performance indicators per maatregel, voer regelmatige interne audits uit, laat penetratietests uitvoeren en monitor beveiligingsincidenten. De resultaten van deze metingen voeden de PDCA-cyclus waarmee je je maatregelen continu verbetert en aanscherpt.

Zijn beheersmaatregelen alleen voor grote organisaties relevant?

Nee, elke organisatie die informatie verwerkt heeft beheersmaatregelen nodig. De schaal en complexiteit van de maatregelen moeten passen bij de omvang van je organisatie en de gevoeligheid van je informatie. Een MKB-bedrijf hoeft geen enterprise-grade security operations center in te richten, maar heeft wel gedegen basismaatregelen nodig. Ook voor kleine organisaties zijn maatregelen als sterke wachtwoorden, regelmatige updates, backups en security awareness onmisbaar om basale bescherming te garanderen.

Hoe blijven beheersmaatregelen actueel met veranderende dreigingen?

Door je maatregelen minimaal jaarlijks te evalueren en te toetsen aan het actuele dreigingslandschap. Abonneer je op threat intelligence-feeds en beveiligingsadviezen van het NCSC. Voer na elk significant incident een evaluatie uit om te bepalen of je maatregelen adequaat waren. De PDCA-cyclus binnen ISO 27001 formaliseert dit proces en zorgt ervoor dat je beveiligingsmaatregelen meegroeien met de ontwikkeling van dreigingen en technologie. Zo voorkom je dat je beveiliging achterloopt op de realiteit van het actuele cyberdreigingslandschap.