Informatiebeveiliging van een Internationale
Luchtvaartmaatschappij
Adviesrapportage voor betere informatiebeveiliging X
X
Oktober 2021
Den Haag
Eindopdracht van de module “Integrale Beroepsopdracht IV Jaar 2” in het kader van de
opleiding HBO Bachelor Integrale Veiligheid
,Inhoudsopgave
1. Managementsamenvatting Pagina 4
2. Onderdeel I – Doelen bepalen vanuit de context Pagina 5
2.1 Achtergrondinfomatie X Pagina 5
2.2 GAP analyse huidige situatie Pagina 6
3. Onderdeel II – Onderzoek Pagina 7
3.1 Risico-inventarisatie Pagina 7
3.2 Risico-classificatie Pagina 7
4. Onderdeel III – Basis voor het advies Pagina 9
4.1 Omgaan met risico’s Pagina 9
4.2 Beoordeling maatregelen Pagina 9
5. Onderdeel IIII – Het advies(rapport) Pagina 10
Literatuurlijst Pagina
Bijlage I – Interviewverslagen Pagina
, 1. Managementsamenvatting
Dit adviesrapport is geschreven in opdracht van de luchtvaartmaatschappij X die wil
onderzoeken hoe de digitalisering van de organisatie beter beveiligd kan worden. Momenteel
vinden er maandelijks gemiddeld vijf cyberaanvallen plaats, voornamelijk gericht op het
verkrijgen van informatie over en via medewerkers. Steeds meer processen worden digitaal en
analoge processen verdwijnen. Informatiebeveiliging is dus een absolute noodzaak. Wanneer
vitale processen uitvallen is de impact voor het vliegverkeer niet te overzien. De hoofdvraag
van het onderzoek luidt als volgt: “Op welke manier kan de informatiebeveiliging van X
worden verbeterd?” Om de vraag te kunnen beantwoorden is een kwalitatief onderzoek
verricht, waarvoor interviews zijn gehouden met medewerkers van verschillende afdelingen
van X. De interviews zijn samengevat in bijlage I. Er is onderzoek gedaan naar de
veiligheidsrisico’s op het gebied van safety en security binnen X. De huidige situatie is
beschreven waaruit blijkt dat kennis bij werknemers niet op het basisniveau is. Aan de hand
van de GAP analyse is vastgesteld dat het doel op strategisch niveau is het op basisniveau
brengen van het kennisniveau van de werknemers ten aanzien van informatiebeveiliging.
De gekozen risico strategie voor de maatregelen en de aanpak ter verbetering van de
informatiebeveiliging is een risico-neutrale strategie. Dit betekent een aanpak om de risico’s
maar ook de schade van de gevolgen van een incident te beperken.
Het advies voor X is het ontwikkelen en implementeren van trainingsschema’s op maat voor
medewerkers. Het doel hiervan is het verhogen van het kennisniveau en bewustzijn van de
werknemers tot het gewenste basisniveau. Dit is gebaseerd op het strategisch doel en de
beperking van de volgende vier risico’s.
Twee safety risico’s die uit het onderzoek naar voren komen zijn:
- Niet gesloten papierbakken voor vertrouwelijke informatie
- Een potentieel datalek
Twee security risico’s die uit het onderzoek naar voren komen zijn:
- Niet voldoende afgeschermde Facebook pagina’s waar door werknemers
gecommuniceerd wordt over bedrijfsgevoelige informatie
- Onduidelijkheid bij de werknemers bij het melden van
informatiebeveiligingsincidenten
Luchtvaartmaatschappij
Adviesrapportage voor betere informatiebeveiliging X
X
Oktober 2021
Den Haag
Eindopdracht van de module “Integrale Beroepsopdracht IV Jaar 2” in het kader van de
opleiding HBO Bachelor Integrale Veiligheid
,Inhoudsopgave
1. Managementsamenvatting Pagina 4
2. Onderdeel I – Doelen bepalen vanuit de context Pagina 5
2.1 Achtergrondinfomatie X Pagina 5
2.2 GAP analyse huidige situatie Pagina 6
3. Onderdeel II – Onderzoek Pagina 7
3.1 Risico-inventarisatie Pagina 7
3.2 Risico-classificatie Pagina 7
4. Onderdeel III – Basis voor het advies Pagina 9
4.1 Omgaan met risico’s Pagina 9
4.2 Beoordeling maatregelen Pagina 9
5. Onderdeel IIII – Het advies(rapport) Pagina 10
Literatuurlijst Pagina
Bijlage I – Interviewverslagen Pagina
, 1. Managementsamenvatting
Dit adviesrapport is geschreven in opdracht van de luchtvaartmaatschappij X die wil
onderzoeken hoe de digitalisering van de organisatie beter beveiligd kan worden. Momenteel
vinden er maandelijks gemiddeld vijf cyberaanvallen plaats, voornamelijk gericht op het
verkrijgen van informatie over en via medewerkers. Steeds meer processen worden digitaal en
analoge processen verdwijnen. Informatiebeveiliging is dus een absolute noodzaak. Wanneer
vitale processen uitvallen is de impact voor het vliegverkeer niet te overzien. De hoofdvraag
van het onderzoek luidt als volgt: “Op welke manier kan de informatiebeveiliging van X
worden verbeterd?” Om de vraag te kunnen beantwoorden is een kwalitatief onderzoek
verricht, waarvoor interviews zijn gehouden met medewerkers van verschillende afdelingen
van X. De interviews zijn samengevat in bijlage I. Er is onderzoek gedaan naar de
veiligheidsrisico’s op het gebied van safety en security binnen X. De huidige situatie is
beschreven waaruit blijkt dat kennis bij werknemers niet op het basisniveau is. Aan de hand
van de GAP analyse is vastgesteld dat het doel op strategisch niveau is het op basisniveau
brengen van het kennisniveau van de werknemers ten aanzien van informatiebeveiliging.
De gekozen risico strategie voor de maatregelen en de aanpak ter verbetering van de
informatiebeveiliging is een risico-neutrale strategie. Dit betekent een aanpak om de risico’s
maar ook de schade van de gevolgen van een incident te beperken.
Het advies voor X is het ontwikkelen en implementeren van trainingsschema’s op maat voor
medewerkers. Het doel hiervan is het verhogen van het kennisniveau en bewustzijn van de
werknemers tot het gewenste basisniveau. Dit is gebaseerd op het strategisch doel en de
beperking van de volgende vier risico’s.
Twee safety risico’s die uit het onderzoek naar voren komen zijn:
- Niet gesloten papierbakken voor vertrouwelijke informatie
- Een potentieel datalek
Twee security risico’s die uit het onderzoek naar voren komen zijn:
- Niet voldoende afgeschermde Facebook pagina’s waar door werknemers
gecommuniceerd wordt over bedrijfsgevoelige informatie
- Onduidelijkheid bij de werknemers bij het melden van
informatiebeveiligingsincidenten
