Auteur:

Kritische assets en middelen

  door

Inmiddels hebben we het gehad over de kritische informatie en de kritische afdelingen en medewerkers. Zoals eerder aangegeven worden processen ondersteund door die informatie en dat personeel, maar de assets of middelen mogen we ook niet vergeten tegen het licht te houden. De volgende vraag die we stellen zal je inmiddels niet meer verrassen:

Zijn de kritische assets en middelen van de organisatie inzichtelijk?

Kritische assets en middelen. Daar valt eigenlijk alles onder wat we niet konden vatten onder de informatie (geautomatiseerd of niet) en het personeel. Het kunnen dus zijn de gebouwen waar we in gehuisvest zijn, de robotstraat die de producten maakt maar ook bijvoorbeeld de hardware (pc’s, laptops, servers, etc.).

Het hangt helemaal af van de organisatie en de aard van die organisatie over hoeveel kritische assets en middelen beschikken. De ene locatie zal een grotere impact hebben op ons voortbestaan dan de ander. Kijk ook goed naar waar de informatie is opgeslagen, hebben we die uitbesteed of beheren we ons eigen data center?

Een kleine organisatie in de dienstverlening zal misschien snel door kunnen werken na een brand omdat iedereen beschik over een laptop en de data is ondergebracht in een goed beveiligd data center. Een grotere organisatie die zelf een data center beheert heeft wellicht meer problemen bij het uitbranden van dat data center.

Bij het beveiligen van de kritische assets en middelen komen we misschien al meer terecht op het gebied van de fysieke beveiliging. Maar dat heeft alles te maken met de definitie die we er aan koppelen. Wij maken liever geen onderscheid en benaderen de aanpak integraal. We kunnen immers de firewall wel dichtzetten met inlognaam en wachtwoord maar als er een crimineel met een hamer de firewall aan gort slaat dan hebben we toch echt problemen.

Dit is ook de gedachte achter de filosofie dat we niet zozeer naar de maatregelen moeten kijken maar dat we de risico’s als uitgangspunt moeten nemen. Als het risico is: uitval van de firewall, dan moeten we goed kijken wat daar de mogelijke oorzaken van kunnen zijn. Denk bijvoorbeeld aan een hack poging van buiten af of een crimineel die inbreekt en de firewall steelt. In beide gevallen kan het gevolg uitval van de firewall zijn terwijl de oorzaken en dus de maatregelen totaal anders kunnen zijn.

Hoe meer we doen aan informatiebeveiliging hoe groter de kans wordt dat een aanvaller voor de makkelijkere weg kiest. Informatiebeveiliging en fysieke beveiliging moeten elkaar dan ook ondersteunen en met elkaar in evenwicht zijn. Ook hier geldt: de keten is zo zwak als de zwakste schakel. Een superieure aanpak van informatiebeveiliging met een zeer zwakke fysieke beveiliging lost het probleem niet op…of anders gezegd: dekt het risico niet voldoende af.

Kritische afdelingen en medewerkers

  door

Na het, redelijk, zware onderwerp van gisteren gaan we vandaag door met de kritische afdelingen en medewerkers. Een onderwerp waarbij we ons waarschijnlijk wat meer voor kunnen stellen. Toch moeten we dit aspect niet onderschatten want uiteindelijk zorgen de mensen in onze organisatie ervoor dat we omzet halen. Daarom vandaag de volgende vraag:

Zijn de kritische afdelingen en medewerkers van de organisatie inzichtelijk?

De ene afdeling of medewerker levert nu eenmaal een directere bijdrage aan de kritische bedrijfsprocessen dan de ander. Niet dat de een meer of minder belangrijk is, want als het goed is hebben we iedereen binnen de organisatie hard nodig. Wel kunnen we er meer last van hebben als een kritische afdeling uitval vertoond dan een ander. Sommige activiteiten kunnen we niet een paar uur of een paar dagen uitstellen terwijl dat met andere activiteiten wel kan.

Nogmaals: verwar kritisch in dit geval niet met belangrijk. De totale organisatie zorgt voor ons voortbestaan, mensen die daaraan geen enkele bijdrage (hoe groot of klein ook) leveren hebben we niet nodig. Dat klinkt misschien hard en is ook nooit helemaal zuiver te maken, maar de nuance zit hem nu juist in het feit dat iemand een grote of kleine bijdrage kan leveren en dan toch toegevoegde waarde heeft. Niemand hoeft dus, wat mij betreft, bang te zijn voor zijn baantje, maar ze moeten wel een bijdrage leveren.

Maar goed, we dwalen wat af. Wat bedoelen we nu met de kritische afdelingen en medewerkers? We bedoelen daarmee dat je voor continuïteit moet zorgen bij die afdelingen en medewerkers. We moeten de kennis die daar aanwezig is goed borgen zodat bij vertrek van een medewerker of uitval van een afdeling de rest van de organisatie daar geen last van ondervindt.

Gelijk toegegeven: niemand is onmisbaar, maar lastig kan het wel zijn als een kritische medewerker spontaan besluit om zijn biezen te pakken, als er een griepepidemie over een afdeling dwaalt of iedereen tegelijk op vakantie gaat. Meestal is het gat dat valt wel op te vullen, maar het is geen reden om er niet extra alert op te zijn.

Hoe vaak zien we niet dat de kennis geborgd is in een persoon, er staat niets op papier en als hij met vakantie gaat dan vrezen we het ergste. Hebben we er tijdens zijn of haar vakantie ook echt last van dan is dat een mooi aanknopingspunt om na de vakantie te zorgen voor kennisdeling en borging. Hadden we er geen last van maar dachten we dat alleen, dan kunnen we ons afvragen hoe kritisch de persoon is.

Mensen zijn innovatief en verzinnen echt wel mogelijkheden om door te kunnen werken, niemand is onmisbaar maar lastig kan het wel zijn. Een gevleugelde uitspraak in deze: “we kunnen niet zonder jou, maar gaan het toch proberen”

De kritische informatiesystemen

  door

Gisteren hadden we het al over de kritische bedrijfsprocessen die ons uitgangspunt moeten zijn voor de aanpak van informatiebeveiliging. Daarbij zijn we ook ingegaan op de ondersteunende middelen: informatie, assets en personeel. We zagen daarbij ook dat we onderscheid maken tussen de geautomatiseerde en de niet geautomatiseerde data. Daar sluit de volgende vraag mooi bij aan:

Zijn de kritische informatiesystemen van de organisatie inzichtelijk?

Het is zeker niet mijn bedoeling om hier een wetenschappelijk of semi-wetenschappelijk blog van te maken, maar vandaag gooien we maar even de knuppel in het hoenderhok: kritische informatiesystemen staat niet gelijk aan de informatietechnologie die we daar voor inzetten. Computers, laptops, netwerken en ga zo maar door zijn wel een belangrijk aspect, maar we moeten onderscheid maken.

Het is wel belangrijk om een onderscheid te kunnen maken (nogmaals: zonder semi-wetenschappelijk te worden), laten we uitgaan van de informatievoorziening, de informatiesystemen en de informatietechnologie. Dat is een indeling die we goed kunnen gebruiken zonder dat het al te ingewikkeld wordt.

Voor het gemak kopieer ik even de informatie uit Wikipedia:

  • De informatievoorziening van een organisatie is het geheel van mensen, middelen en maatregelen, gericht op de informatiebehoefte van die organisatie. De informatiebehoefte van een organisatie is drieledig:
  1. Operationele informatie, voor het verrichten van de feitelijke handelingen en het beheersen van de bedrijfsprocessen;
  2. Besturingsinformatie, voor de besturing van de organisatie;
  3. Verantwoordingsinformatie, informatie over verrichting en besturing.
  • Een informatiesysteem is gericht op de ondersteuning -met informatievoorziening en gegevensverwerking- van de bedrijfsprocessen van de klant.
  • Onder informatietechnologie worden hardware-, softwareproducten en diensten verstaan.

Hieruit kunnen we afleiden dat de informatiebeveiliging op zowel strategisch, tactisch en operationeel niveau zo in moeten richten dat het een logisch geheel vormt. Geen bottom-up benadering waarbij we maar wat doen maar een top-down benadering waar we kijken naar de strategie van de organisatie, die vertaald is in doelstellingen en waarvoor informatievoorziening noodzakelijk is. Voor die informatievoorziening gebruiken we vervolgens informatiesystemen en informatietechnologie.

Niet het inzetten van een firewall (informatietechnologie) dus omdat het een firewall is, maar omdat het de informatiesystemen kan beschermen die we nodig hebben om de operationele, besturings- en verantwoordingsinformatie beschikbaar te stellen aan het hoger management.

Dat hoger management is geïnteresseerd in hoe goed die informatievoorziening is. Hoe betrouwbaar is de informatie en krijgen ze de gegevens aangeleverd wanneer ze ze nodig hebben (beschikbaarheid)? Dat we daarvoor een firewall nodig hebben is voor hen minder van belang. Het moet gewoon werken en daar worden wij voor betaald.

Voor nu stoppen we er mee, hopelijk morgen een iets luchtiger onderwerp.

De kritische bedrijfsprocessen (en objecten)

  door

Voor dat we verder gaan is het goed om even in te zoomen op de kritische bedrijfsprocessen en de kritische objecten. We moeten immers wel de juiste zaken beschermen omdat we anders alsnog uit het veld kunnen worden geslagen. Niet geheel verrassend is de volgende vraag dan ook:

Zijn de kritische bedrijfsprocessen (en bedrijfsobjecten) van de organisatie inzichtelijk?

Hanteren we een top-down benadering op het gebied van integrale beveiliging dan moeten we ook redeneren vanuit de kritische bedrijfsprocessen die zo zijn ingericht dat we de doelstellingen van de organisatie (in termen van winst of omzet) kunnen realiseren. Omdat we geen oneindig beveiligingsbudget voor handen hebben moeten we goed kijken naar de wijze waarop we het budget inzetten. Daarbij moeten we natuurlijk die zaken als eerste aanpakken die voor het voortbestaan van onze organisatie van groot belang zijn. Oh ja, nog even voor de zekerheid: we implementeren geen maatregelen maar kijken natuurlijk eerst naar de operationele risico’s.

Nogal logisch is het kritische bedrijfsproces het primaire proces, maar was het maar zo eenvoudig. Veel organisaties hebben meerdere primaire processen. Kortweg: de processen waar we ons geld mee verdienen. Maar ja, die processen staan niet op zich en worden weer ondersteund door de secundaire processen. Kortweg: de processen die ons geld kosten. Het kan dus best zijn dat een secundair proces van groot belang is voor het voortbestaan van onze organisatie. Daarom moeten we dus niet alleen kijken naar de primaire processen maar juist ook naar de secundaire.

We gaan het nog een stukje ingewikkelder maken, ben ik bang. Een proces op zicht is niets, dat is slechts de term die we ergens aan hangen (ja, ja procesdeskundigen zullen het misschien anders omschrijven, sorry in dat geval). Processen worden ondersteund door informatie (geautomatiseerd en niet geautomatiseerd), assets (of materieel) en personen. Je kunt er allerlei definities aan hangen maar dat is op zich niet zo van belang. Het gaat hier om de uitgangspunten.

Willen we dus de kritische bedrijfsprocessen beveiligen dan kijken we nu naar de primaire en secundaire processen maar ook naar de informatie, assets en het personeel dat voor de uitvoering van die processen van belang is.

Het klinkt misschien allemaal ingewikkeld en niet zozeer als een taak die de Security Manager uit moet voeren om zijn of haar werk te kunnen doen. Toch zou het theoretisch allemaal wel mee moeten vallen. Als het goed is zijn de kritische bedrijfsprocessen en ondersteunende middelen namelijk al inzichtelijk. Hoe bestuurt de directie anders de organisatie?

We hoeven hiervoor dus misschien niet eens zelf de kritische bedrijfsprocessen inzichtelijk te maken maar kunnen misschien wel gebruik maken van de gegevens die in het kader van kwaliteitsmanagement of IT al eens inzichtelijk zijn gemaakt. Voordat we dus deze lastige oefening zelf uit gaan voeren moeten we eerst even op zoek wat er allemaal al beschikbaar is.

In een volwassen organisatie is al veel beschikbaar en op basis daarvan kunnen we ook een volwassen aanpak van beveiliging inrichten. Is de organisatie in zijn totaliteit nog niet zo ver dan moeten we ook even goed beseffen dat de beveiliging wel aan moet sluiten bij de volwassenheid van de totale organisatie.

Kijken we naar bijvoorbeeld de Capability Maturity Modellen (CMM) en komen we met de gehele organisatie op level 2 uit, dan heeft het nu nog niet zoveel zin om de beveiliging op level 4 of 5 in te richten (als we dat al ooit willen en kunnen bereiken). Sluit aan bij het volwassenheidsniveau van de organisatie en groei daar mee mee. Dan zijn we geen vreemde eend in de bijt en begrijpt iedereen ook waar we mee bezig zijn en waarom we dat doen.

Informatiebeveiliging en verzekeringen

  door

Gisteren was het Hemelvaartsdag en hebben we een dagje bloggen overgeslagen. Maar, geen nood, vandaag maken we dat ruimschoots goed door in te gaan op verzekeringen. Bah, zul je misschien denken, maar uiteraard proberen we er weer een andere wending aan te geven. Maar goed, eerst maar even de vraag van de dag stellen:

Zijn er verzekeringen (maatregelen, reserveringen) afgesloten voor de gevolgen van een incident?

Bij verzekeringen denken we misschien direct aan verzekeringsmaatschappijen die toch niks uitkeren als we schade hebben geleden. Dat is dan misschien onderdeel van de term verzekeringen maar we bedoelen het hier toch meer in de bredere vorm van het woord. We kunnen namelijk ook zelf voorzieningen opnemen die we reserveren voor het geval we die nodig hebben. Ook hier geldt gewoon weer voor dat we op basis van kosten/baten analyses moeten bepalen wat we willen. Zijn we verplicht om ons te verzekeren of is het een vrijwillige keuze? Zijn we niet over- of onderverzekerd? En wat hebben we nu precies verzekerd dan?

Verzekeringen of gereserveerde voorzieningen, ik geloof het eigenlijk wel. Stap een keer naar de insurance afdeling of je verzekeringstussenpersoon en zij kunnen die analyse wel maken. De directe schade is dan wel of niet voldoende verzekerd.

Waar we het in de praktijk nog wel verkeerd zien gaan is de gevolgschade die ontstaat na een incident en die niet verzekerd is of niet te verzekeren is. De schade als gevolg van een brand zijn in dat kader een mooi voorbeeld (maar het geldt ook voor allerlei andere incidenten). We hebben onze boedel en inboedel wel goed verzekerd. Na de brand wordt er weer een mooi nieuw pand voor ons neergezet en worden de voorraden weer aangevuld zodat we aan de slag kunnen. Prima, uitstekend zelfs, onderverzekerd willen we nu ook weer niet zijn.

Maar hoe zit het nu met de gevolgschade? Ons gebouw is morgen niet opnieuw gebouwd, daar gaat al snel een paar jaar overheen. Gaan onze klanten op ons wachten in die tijd? Zeer waarschijnlijk niet. Onze kosten (bijvoorbeeld voor het personeel) lopen gewoon door en ons imago krijgt een diepe deuk. We lopen dus niet alleen omzet mis maar dragen nog steeds enorme kosten…die wel betaald moeten worden. De meeste organisaties gaan niet zozeer failliet aan het directe incident maar juist aan de gevolgschade, die ze nooit meer te boven komen. Deze gevolgschade is meestal niet verzekerd of niet te verzekeren…tenzij we daar zelf voorzieningen voortreffen of zorgen voor een uitstekend Business Continuity Management (in de breedste zin van het woord en dat is meer dan een IT uitwijklocatie).

Alle klanten begrijpen dat we na een ingrijpend incident moeilijker kunnen leveren, maar als we in staat zijn om de draad (zo goed en zo kwaad als het kan) weer snel op te pakken dan stijgt niet alleen het vertrouwen van onze klant in ons als organisatie maar draaien we ook weer snel een omzet (die misschien minder is dan normaal…maar minder is nog altijd beter dan niets). We kunnen de kosten dragen en gaan er niet kapot aan. We hebben er last van, maar kunnen er na verloop van tijd sterker uitkomen.

Verzekeringen, denk niet alleen aan de verzekeringsmaatschappij en de directe schade maar denk ook aan andere maatregelen die je kunt treffen om zo snel mogelijk weer “up and running” te zijn. Daarbij kijken we dus juist ook naar de gevolgschade en de wijze waarop we die kunnen beperken.

Beveiligingseisen in contracten

  door

De keten is zo zwak als de zwakste schakel, een mooi gezegde en misschien een dooddoener, maar toch waarheid als een koe als je het mij vraagt. Ok, vaak horen we dat de zwakste schakel in het geheel van informatiebeveiliging het personeel is. Misschien waar, misschien niet. We moeten er zeker alles aan doen om de medewerkers mee te krijgen in onze beveiligingsaanpak, want een belangrijke rol spelen ze zeker.

Vandaag gaan we niet in op de medewerkers maar juist op de keten. Als organisatie staan we niet los van de wereld maar we maken onderdeel uit van een bedrijfskolom. Toeleveranciers en afnemers en ergens in het midden staan wij (of aan het begin of eind natuurlijk). Als de keten zo zwak is als de zwakste schakel moeten we dus ook goed kijken naar hoe onze leveranciers en afnemers hun beveiliging hebben ingericht. Wij willen zelf niet de zwakste schakel zijn, maar willen ook zeker niet dat de anderen er een potje van maken. Juist daarom de volgende vraag:

Wordt in contracten met derden ingegaan op de beveiligingseisen die over en weer gesteld mogen worden?

Zo, dat is nogal een vraag en gelukkig hebben we allerlei Service Level Agreements afgesloten. Juist, hartstikke goed zeker een eerste stap. Maar hebben we in die SLA ook afgesproken hoe we omgaan met de beveiliging? Hoe we de beschikbaarheid, integriteit en exclusiviteit geborgd hebben? Dat we audits uit mogen voeren bij onze leveranciers (en doen we dat dan ook)? Weet je dat zeker? Misschien zijn we op een mooi punt aangeland om nog eens kritisch naar onze SLA’s te kijken.

Een beveiligingsparagraaf nemen we voortaan op in onze SLA’s. Hoe die er exact uit moet zien hangt heel erg van de diensten af die we afnemen. Maar als we eisen gaan stellen aan onze leveranciers en onze afnemers dan mogen we zelf niet de zwakste schakel zijn, zelf blijven we dus ook kritisch op onze aanpak.

Ok, de bezwaren zijn me bekend. Die leverancier moet dat maar lekker zelf regelen en als het misgaat dan kan hij een claim verwachten. Op zich prima, maar misschien wat kortzichtig. De claim is altijd gemaximaliseerd en inzicht ontbreekt vaak in hoe goed of slecht de leverancier het voor elkaar heeft.

Maar stel nou dat je een autofabrikant bent…laten we Toyota als voorbeeld nemen. Jij krijgt je remmen aangeleverd door een leverancier. Schroeft ze op de auto en hop, naar het dealerkanaal. Na verloop van tijd kom je er achter dat de remmen toch niet helemaal functioneren zoals je wilt en je roept voor de zekerheid alle auto’s van een bepaald type terug voor herstelwerkzaamheden. Gelukkig kun je een claim neerleggen bij de remmen leverancier die de kosten dan maar moet vergoeden. Nog los van het feit of je remmen leverancier over de middelen beschikt om al die kosten voor zijn rekening te nemen (bij faillissement geldt: van een kale kip valt niet te plukken…en je bent een leverancier kwijt), maar denk je nu echt dat al die Toyota rijders zich bedenken dat het de schuld is van de leverancier? Nee, Toyota loopt in dit voorbeeld imagoschade op…en die is vele malen hoger dan de claim die neergelegd kan worden bij de leverancier.

Kortom: we zorgen er eerst zelf voor dat we de informatiebeveiliging goed op orde hebben maar direct daarna gaan we ook in op de beveiliging bij onze leveranciers en afnemers. Zo versterken we de gehele keten en zorgen we voor echte continuïteit. We willen juist de claims voorkomen en willen onze leveranciers en afnemers graag helpen. Doen we het op deze wijze dan wordt de band tussen onze organisatie en alle andere partijen alleen maar versterkt.

Normen, best practices en richtlijnen

  door

We hebben al goed nagedacht over onze aanpak op het gebied van informatiebeveiliging. Het zogenaamde “low hanging fruit” hebben we inmiddels wel geplukt en gaan nu meer en meer aanlopen tegen wat meer specifieke vragen. Hoe gaan we dit nu weer oplossen? Hoe gaan we daar nu weer mee om? Geen nood, er is genoeg informatie beschikbaar en die kan ons erg goed van pas komen. Op naar deze vraag dan maar:

Wordt bij de inrichting van de beveiliging gebruik gemaakt van normen en/of best practices en richtlijnen uit de branche of van organisaties met gelijke typologie voor standaardisatie van de integrale beveiliging?

We hebben het al eerder aangehaald, misschien heeft onze branchevereniging of hebben onze concurrenten nog wel interessante informatie beschikbaar die ons goed verder kunnen helpen. Niet geschoten is altijd mis, dus niet gevraagd is ook geen antwoord.

Ok, nu willen we niet als onwetend overkomen bij onze concurrenten dus eerst gaan we ons eigen desk research doen. Wel zo fair, toch? Beginnen we met de Code voor Informatiebeveiliging, dat is al een belangrijk raamwerk om ons verder te helpen. Niet door alles wat daarin staat zomaar te implementeren, maar wel om volgens een bepaalde structuur te werken. Een belangrijk aspect daarbij is het eerste deel van die Code (27002). Sla de eerste 4 hoofdstukken niet over om direct met de maatregelen te beginnen, maar lees juist die eerste hoofdstukken extra goed. Daarin staan de kaders, daarin staat de aanpak…en daarin staat ook dat de Code vertaald moet worden naar de eigen organisatie en dat daarbij keuzes gemaakt moeten worden.

Google ook eens op de Code voor Informatiebeveiliging. Voor de Code zelf moet betaald worden maar er is genoeg geschreven over hoe andere organisaties het aanpakken. Er is genoeg herbruikbaar materiaal te vinden. Beter goed gejat dan slecht verzonnen, zou ik zeggen.

Ik benadruk het nog maar eens: er staat nergens in de Code dat je alle maatregelen moet implementeren, er staat dat je goed moet nadenken over de specifieke risico’s voor jouw organisatie en dat de Code je daarbij behulpzaam kan zijn. Kortom: niet zomaar maatregelen implementeren maar eerst nadenken over de mogelijke risico’s.

Maar hoe gaan we nu om met die specifieke punten waar jij met je organisatie tegenaan loopt? Ook daarvoor geldt “Google is your friend” (ja ik weet het, er wordt door sommigen anders over gedacht). Loop je ergens op vast, Google dan eens met de juiste termen en je komt al snel hele bergen informatie tegen. Desk research is met de intrede van internet alleen maar makkelijker geworden en er komt nog steeds veel bruikbare informatie bij. Na de desk research kun je altijd nog even met je concurrent schakelen om na te gaan hoe zij met aspecten zijn omgegaan. Ook kun je altijd nog een specialistische interne afdeling benaderen of extern advies inhuren als dat wenselijk is.

We hebben het al vaker geschreven: als we het wiel opnieuw uit gaan vinden dan zal dat wiel ongetwijfeld weer rond worden. Dat hoeven we dus niet te doen. Nee, hergebruik wat beschikbaar is en vertaal dat naar de eigen organisatie. Een wiel is inderdaad rond, maar een wiel van een tractor zal moeilijk passen op het frame van een fiets. Heb je echt zulke grote wielen nodig of kan het ook wel een maatje kleiner? Daar zit hem wellicht de belangrijkste vraag.

Aantoonbaarheid voldoen aan wet- en regelgeving

  door

Het weekend is weer achter de rug en vorige week hebben we afgesloten met de relevante wet- en regelgeving. Hoewel we in dit weekend nog steeds geen jurist zijn geworden is het wel belangrijk om aan te tonen dat we de wet- en regelgeving onderkennen en dat we aan kunnen tonen dat we naar ons beste kunnen daaraan voldoen. De volgende vraag wordt dan belangrijk:

Kan het aantoonbaar worden gemaakt dat aan de toepasselijke wet en regelgeving, door de organisatie, wordt voldaan?

Kortom: in de vorige exercitie zijn we met de juridische afdeling in gesprek gegaan om duidelijk te krijgen wat we verplicht zijn om te doen. Dan wordt het ook belangrijk om duidelijk te documenteren welke wet- en regelgeving volgens ons op ons van toepassing is en hoe we die vertaald hebben naar ons beleid en onze inrichting van de beveiliging.

Over niet al te lange termijn zal er vanuit de EU meer wet- en regelgeving opgelegd gaan worden. Hierbij zullen we ook incidenten openbaar moeten gaan maken waarbij de privacy van onze klanten in het geding is gekomen. We willen ons natuurlijk niet laten verrassen door die nieuwe regels en nemen nu al onze verantwoordelijkheid door er goed over na te denken.

Pakken we bijvoorbeeld de Code voor Informatiebeveiliging en maken we daarvan een goede doorvertaling naar onze organisatie dan dekken we al hele grote delen van de wet- en regelgeving af. Maken we aantoonbaar dat we inderdaad aan die Code voldoen dan maken we daarmee ook aantoonbaar dat we serieus met het onderwerp bezig zijn.

Wet- en regelgeving. Het blijft aan lastig aspect waar we eens goed in moeten duiken en waar we zeer waarschijnlijk specialistisch advies goed bij kunnen gebruiken. Maar denken we met ons gezond boeren verstand na en gebruiken we de beschikbare informatie de branche en van het internet dan zijn we al een groot aantal stappen op weg om ook aan deze wet- en regelgeving te voldoen.

Informatiebeveiliging: wet- en regelgeving

  door

Het is maar goed dat het vandaag vrijdag is, want we zijn aanbeland bij een onderwerp dat al snel als erg droog ervaren wordt. De wet- en regelgeving. Ik ben geen jurist dus kan het hier eigenlijk alleen maar over de hoofdlijnen en de mogelijke aanpak hebben. Er wordt dan ook niet ingegaan op allerlei specifieke artikelen en lidnummers. Toch is het een aspect waar we niet aan ontkomen, dus de vraag die we ons moeten stellen is:

Is de wet- en regelgeving, waaraan de organisatie moet voldoen, inzichtelijk?

Een voordeel (of nadeel, het is maar net hoe je er tegenaan kijkt) is dat er niet heel veel expliciete wet- en regelgeving aanwezig is waaraan organisaties moeten voldoen op het gebied van de informatiebeveiliging. Er is een Wet Bescherming Persoonsgegevens, een Telecom Wet, een Wet Computercriminaliteit en misschien kunnen we ook nog wel wat vinden in de Grondwet en de Arbo Wet.

Belangrijk om te onderkennen is dat de wet- en regelgeving niet ons hoofdvakgebied is. We moeten dan ook niet zelf gaan worstelen met allerlei artikelen in de wetten, maar moeten onze juridische afdeling vragen ons te helpen. Net als wij hen helpen bij het inrichten van hun beveiliging.

Wij zijn er verantwoordelijk voor om onze beveiliging zo in te richten dat aan de wet- en regelgeving wordt voldaan. Het lijnmanagement moet ons beleid uitvoeren en er dus voor zorgen dat de medewerkers binnen de kaders blijven en onze juridische afdeling ondersteunt ons bij het inzichtelijk maken van de wet- en regelgeving en met de doorvertaling van al die wetteksten naar onze praktijk situatie.

Hieruit blijkt maar weer dat beveiliging geen losstaand aspect of losstaande afdeling is maar juist goed samen moet werken met andere afdelingen binnen de organisatie. Aan de ene kant met de lijnorganisatie maar juist ook met de andere stafafdelingen. Gezamenlijk moeten we er voor zorgen dat de directie “in control” is, we hebben daarbij allemaal hetzelfde doel (als het goed is) en een andere verantwoordelijkheid. Al die taken en verantwoordelijkheden bij elkaar zorgen voor een succesvolle organisatie…die aan de wet- en regelgeving voldoet.

Beveiliging en samenwerking met andere organisaties

  door

De titel klinkt misschien wat vreemd. We gaan onze beveiliging toch niet open en bloot op straat gooien? Stel je voor…zo weet iedereen exact wat we doen en hoe ze ons aan kunnen vallen. Natuurlijk zit daar een kern van waarheid in, de details gaan we natuurlijk niet zomaar prijsgeven. Toch kunnen we op het gebied van de beveiliging heel goed samenwerken met andere organisaties. We kunnen daarbij denken aan de brancheverenigingen maar ook aan onze concurrenten. Daarom stellen we ons de vraag:

Wordt er op het gebied van beveiliging samengewerkt met andere organisaties (zoals brancheverenigingen)?

Allereerst beginnen we met de brancheverenigingen en de instanties die gespecialiseerd zijn op het gebied van de informatiebeveiliging. We kunnen met een gerust hart Googlen op de aspecten van informatiebeveiliging die we willen verbeteren. Nationaal en internationaal zijn bergen informatie beschikbaar. We hoeven echt het wiel niet steeds opnieuw uit te vinden…en de conclusie te trekken dat het wiel weer rond is geworden. Nee, we kunnen de informatie die in de buitenwereld beschikbaar is gewoon hergebruiken en toepassen op onze organisatie. Uiteraard moeten we niet klakkeloos alles maar implementeren en moeten we een vertaalslag maken naar de wensen en behoeften van onze organisatie.

Tot zover niks geks. Waarschijnlijk maken we voor andere aspecten ook gebruik van informatie die tot onze beschikking staat. Dat moeten we bij beveiliging ook gewoon kunnen doen.

Maar dan hebben we nog onze concurrenten. Daar gaan we toch zeker niet mee in zee? De vraag is waarom niet? Natuurlijk hoef je de vuile was daar niet uit te hangen, natuurlijk moet je niet alle details prijsgeven. Maar kun je in gesprek komen met de Security Managers van je concurrent dan kan dat grote voordelen opleveren. Misschien zitten zij wel met dezelfde vragen, misschien kun je gezamenlijk de markt benaderen om een geheel nieuwe maatregel voor jullie te ontwikkelen. Je kunt dan de kosten delen.

Binnen de security wereld heb je natuurlijk te maken met vertrouwen en integriteit. Het is niet verstandig om direct al je vragen bij je concurrent neer te leggen. Nee, eerst bouwen we een onderlinge vertrouwensband op (als die er nog niet is). Op beveiliging hoeven we (veelal) niet te concurreren, daar moeten en kunnen we goed gebruik van maken. Daarbij geldt natuurlijk dat we niet alleen informatie komen halen, nee we brengen daar ook de informatie waar onze concullega wat aan heeft.

Beveiliging zien we (nog) niet als onderscheidend vermogen ten opzichte van de concurrent en we kunnen hergebruiken wat er al beschikbaar is. Willen we beveiliging wel inzetten als onderscheidend vermogen dan nog kunnen we de gesprekken aan met concurrenten, we geven dan alleen nog minder details bloot. Denk bij concurrenten trouwens ook in de breedte, misschien zijn er wel andere branches met dezelfde soorten problemen, misschien voelt het beter om met hen in gesprek te gaan.

De praktijk leert dat als we vanuit een organisatie contact zoeken met een andere organisatie om kennis te delen (dus niet om je producten en diensten te verkopen) dat er dan al snel interesse is. Maak daar gebruik van en de beveiliging zal er beter van worden.