Auteur:

Periodieke onafhankelijke toetsing van beveiliging

  door

Inmiddels zijn we al een aardig stuk op weg om de beveiliging goed ingeregeld te krijgen. We hebben hard gewerkt aan het beleid, we hebben de organisatie ingericht, we hebben inmiddels draagvlak bij het hoogste management maar ook bij de medewerkers.

Waarschijnlijk hebben we inmiddels ook al allerlei beveiligingsmaatregelen getroffen. Hoewel we al goed op weg zijn, wordt het nu wel extra oppassen. Oppassen voor schijnveiligheid. Doen we wel de juiste dingen en doen we die dingen wel juist? Een vraag die we, terecht, vaak horen: hoe goed doen we het nu eigenlijk? Daarmee zijn we aangekomen bij de volgende vraag:

Worden de genomen beveiligingsmaatregelen periodiek door een onafhankelijke organisatie doorgelicht/beoordeeld?

Oh, jee. Ik hoor het je denken. Daar komt een heel batterij auditors aan met rode potloden om alles af te kraken wat we zo zorgvuldig hebben opgebouwd. Krijgen we weer allerlei findings aan de broek die ons dagelijks werk enorm gaan verstoren. Toch is dat helemaal niet nodig.

Strikt genomen kun je de aanpak van beveiliging inderdaad door een onafhankelijke derde laten toetsen. Dat kan in een later stadium zeker een goed idee zijn want zij kunnen zaken zien die wij over het hoofd hebben gezien. Toch hoeven we in dit stadium nog geen duur extern accountskantoor of een interne auditafdeling in te zetten. We kunnen ook gewoon een keer een collega manager vragen om eens met ons mee te denken, hoe kijkt hij of zij er tegen aan? Zit onze aanpak logisch in elkaar? Missen we nog zaken?

Ja, ja, ik hoor de tegenargumenten: we gaan onze vuile was toch niet met een andere manager delen? Wat weet hij of zij nou eigenlijk van beveiliging? Nou, waarschijnlijk niet bijzonder veel. Maar daar gaat het ook niet om. Het gaat niet om het laten beoordelen van al onze beveiligingsmaatregelen (op dit moment, later kan dat altijd nog een keer door een specialist). Nee, het gaat er juist om of onze aanpak logisch in elkaar zit, of we de juiste risico’s onderkend hebben, of het beveiligingsbeleid een beetje begrijpelijk is en of de taken, bevoegdheden en verantwoordelijkheden ook echt gedragen worden.

Aan de hand van de informatie die we van onze collega hebben ontvangen kunnen we weer een verbeterslag maken. Daarna kunnen we altijd nog onze interne auditafdeling vragen ook eens met ons mee te kijken. Niet om onze beveiliging genadeloos de grond in te boren, maar juist om ons weer te wijzen op aspecten die we anders of beter aan kunnen pakken. Niet door het over de schutting gooien van allerlei dikke pakken papier. Nee, door met hen in gesprek te gaan en hen er echt om te vragen. Nog voordat de directie het de auditafdeling vraagt…want dan kan het een ander spel worden.

De auditfindings zien we dan ook niet als aanval op onze aanpak, maar zien we als wederom mogelijke verbeterpunten. Toegegeven, er zijn slechte en goede auditors…wat dat betreft zijn het net mensen. Maar met de goede auditors kunnen we in gesprek gaan, niet om allerlei beveiligingsmaatregelen die uit de findings komen te implementeren maar om de risico’s af te dekken. Kortom: voordat we een finding blind accepteren vragen we een nadere toelichting op het risico dat we af moeten dekken. De auditor is er niet om ons af te straffen, maar is een instrument van de directie om aantoonbaar te maken hoe goed onze aanpak is.

Zo, inmiddels hebben we al wat verbeterslagen geslagen door de adviezen van onze collega’s (managers en auditors) door te voeren. Als we dat willen, omdat we bijvoorbeeld gecertificeerd willen worden, kunnen we nu een externe partij vragen om er ook eens naar te kijken. We kunnen goed onderbouwen waarom we sommige zaken wel en sommige zaken niet hebben opgepakt. We tonen ze niet allerlei losstaande beveiligingsmaatregelen maar onze aanpak. Ongetwijfeld komen ook daar auditfindings uit, maar dat is geen probleem. Dat zijn er een stuk minder dan normaal en diegene die er zijn passen we in in onze totale aanpak.

Ook die externe partij is niet een vijand van ons, maar is een instrument om de beveiliging goed in te richten. Want dat is wat we willen, toch?

Maak de interne en externe auditors tot je beste kameraad, zie auditfindings niet als aanval en ga in gesprek over de risico’s die we nog af moeten dekken. Zo bereiken we een niveau dat goed is voor de organisatie.

Taken, bevoegdheden en verantwoordelijkheden

  door

Hadden we het gisteren nog over de inrichting van de beveiligingsorganisatie, vandaag gaan we iets meer in op de taken, bevoegdheden en verantwoordelijkheden. Daarom stellen we onszelf de vraag:

Zijn de taken, bevoegdheden en verantwoordelijkheden vastgelegd?

Om maar direct de lucht te klaren. We hebben het hier echt niet alleen over de taken, bevoegdheden en verantwoordelijkheden van de Security Manager. Nee, we hebben het hier over de taken, bevoegdheden en verantwoordelijkheden van iedereen binnen de organisatie. Daarbij kunnen we bijvoorbeeld onderscheid maken in de taken, bevoegdheden en verantwoordelijkheden van de Raad van Bestuur, de directie, het management, de Security Manager, de lijnmanagers, de medewerkers maar ook diegene die een bijzondere rol vervullen binnen de beveiliging zoals de IT’ers, de Facility medewerkers en de P&O’ers.

Een algemene omschrijving die we op kunnen nemen in de vastlegging van de beveiligingsorganisatie (en het beleid) is dat beveiliging een lijnverantwoordelijkheid is waarbij iedereen naar rato zijn of haar verantwoordelijkheid moet nemen. Een eerste algemene omschrijving die duidelijk maakt hoe we tegen beveiliging aan kijken. Uiteraard laten we die beveiligingsorganisatie en het beleid formeel bekrachtigen door het hoogste management. Dat geeft ons een steuntje in de rug.

Voor de medewerker in de organisatie die zijn of haar werk doet en dus niet een specifieke beveiligingstaak heeft, kunnen we de algemene verantwoordelijkheid opnemen in de functieomschrijving. Daarbij ondersteunen we ze met allerlei gedragsrichtlijnen (geen dikke pakken papier alstublieft). Zo weten ze wat er van hen verwacht wordt en als ze het niet weten kunnen ze het opzoeken. Incidenten monitoren we en op basis daarvan sturen we bij. Overigens heeft de manager hier natuurlijk ook een belangrijke rol in, hij moet immers de onder zijn of haar verantwoordelijkheid vallende medewerkers sturen (beoordeling en functioneringsgesprekken bijvoorbeeld).

Voor de manager geldt dat zij meer verantwoordelijkheid hebben voor de beveiliging. Zij zijn er verantwoordelijk voor dat de medewerkers binnen de afdeling zich aan de algemeen geldende beveiligingseisen houden. Wij gaan niet politie agentje spelen maar spreken de manager aan op incidenten en die spreekt vervolgens zijn medewerkers daarop aan.

Specifieke functies kunnen een uitgebreidere omschrijving krijgen van de taken, bevoegdheden en verantwoordelijkheden. Denk hierbij aan de IT’ers, de Facility medewerkers en de P&O’ers. Zij spelen een belangrijke rol in de uitvoering van de beveiliging. Dan is het dus goed om ze duidelijk te informeren over hetgeen we van ze verwachten. Hoe we dat exact omschrijven hangt af van de keuzes die we maken bij de inrichting van de beveiligingsorganisatie. Een algemene beschrijving is hier dan ook nauwelijks te geven.

De medewerkers en de medewerkers met specifieke taken weten nu wat van hen verwacht mag worden. De medewerkers die onderdeel uitmaken van de beveiligingsafdeling krijgen in hun taakomschrijving natuurlijk veel uitgebreider omschreven wat ze wel en niet mogen. Dat is dan weer een onderdeel van de beschrijving van de beveiligingsorganisatie.

Voordat we dit blog afsluiten gaan we nog wel even in op de beschrijving van de taken, bevoegdheden en verantwoordelijkheden van de Raad van Bestuur en de directie. We horen nog wel eens dat we daar onmogelijk kunnen neerleggen welke rol zij spelen. Toch is dat niet waar. In de beschrijving van de beveiligingsorganisatie kunnen we wel degelijk aangeven dat de Raad van Bestuur toe ziet op de totale beveiliging, dat de algemeen directeur eindverantwoordelijk is (en daar eventueel een mededirecteur voor heeft aangewezen). Uitvoering kunnen we wel delegeren, maar verantwoordelijkheden niet. De directie blijft verantwoordelijk en zal daarover verantwoording af moeten leggen aan de Raad van Bestuur. Wij kunnen ze alleen maar helpen bij een goede uitvoering daarvan, wij geven ze de zekerheid.

Is de beschrijving van de beveiligingsorganisatie door de directie goedgekeurd? Dan kan daar geen onduidelijkheid meer over zijn. In die omschrijving hebben we immers ook de taken, bevoegdheden en verantwoordelijkheden van de Raad van Bestuur en van de directie opgenomen. Wederom: beveiliging is niet exotisch maar een regulier aspect van de bedrijfsvoering. Regelen we het op die manier in, dan wordt ons leven als Security Manager een stuk duidelijker.

Inrichting van de beveiligingsorganisatie

  door

Vandaag gaan we in op de inrichting van de beveiligingsorganisatie. Dat klinkt natuurlijk allemaal erg zwaar en of er een formele beveiligingsorganisatie hoeft te zijn of dat we hem functioneel inrichten hangt helemaal van de omvang en de aard van de organisatie af.

Toch is het belangrijk om onszelf de volgende vraag te stellen:

Is de beveiligingsorganisatie ingericht?

Daarmee hoeven we dus niet direct een hele nieuwe afdeling op te tuigen die zich met alle aspecten van de beveiliging bezig gaat houden, een afdeling waarbij technische informatiebeveiligers en beveiligers die verstand hebben van bouwkundige zaken bijeen zijn gebracht is niet noodzakelijker wijs nodig. Er kan ook voor gekozen worden om de taken die horen bij de Security Manager onder te brengen bij reeds bestaande functies. Dan is het uiteraard van groot belang om die manager die de taken er bij krijgt goed te informeren en goed op te leiden.

Een kleine beveiligingsorganisatie binnen de staf en direct vallend onder de directeur die verantwoordelijk is voor de totale beveiliging. Met functionele lijnen naar de staande organisatie waarbij met name de link met IT, Facility en HR (of P&O) van belang is. Hij of zij moet een escalatie mogelijkheid hebben naar het hoogste management en moet daar alleen gebruik van maken als dat strikt noodzakelijk is.

We willen het hoogste management niet lastig vallen met allerlei details en escalaties. Nee, als we een goede band opbouwen met de staande organisatie, als de lijnmanagers weten dat ze hun verantwoordelijkheid moeten nemen en als we een functionele relatie hebben met goed opgeleide mensen binnen de organisatie, dan kunnen we spreken over een beveiligingsorganisatie die een slagingskans heeft.

In de praktijk zien we veelal dat de taken van beveiliging neergelegd worden bij de IT-manager of de Facility Manager. Op zich kan dat, maar we moeten ons wel bedenken dat de doelstellingen van die organisaties anders kunnen zijn dan de doelstellingen van de totale organisatie. Beide afdelingen zijn met een specifiek aspect van de bedrijfsvoering bezig en richten zich minder op de totale strategie van de organisatie. Leggen we de taken bij IT neer, dan zal er veel aandacht zijn voor technische beveiligingsmiddelen als firewalls en anti-virus. Leggen we de taken neer bij Facility dan wordt er al vaker gekeken naar de bouwkundige elementen. Voor de uitvoering van de beveiliging kunnen beide afdelingen zeker betrokken worden, het is alleen de vraag of we hen ook het integraal beveiligingsbeleid op willen laten stellen. Persoonlijk geef ik er de voorkeur aan hier functiescheiding toe te passen. Een functionaris in de staf stelt het beleid en de kaders (bijvoorbeeld de kwaliteitsmanager), IT en Facility voeren binnen die kaders hun werkzaamheden uit (en hebben dus absoluut een belangrijke rol).

Voor grotere organisaties of organisaties die veel met vertrouwelijke informatie werken kan uiteraard gekozen worden om de functie van Security Manager om te bouwen naar een formele Security afdeling. Waarbij overigens nog steeds geldt dat die afdeling de kaders aanreikt, die de adviezen geeft, die de lijn ondersteunt. Maar de lijn blijft zelf verantwoordelijk voor de door haar gemaakte keuzes…zijn we het niet met de keuze van de lijn eens dan gaan we eerst met ze in overleg. Bereiken we daarmee geen succes, dan kunnen we altijd nog kiezen om de escalatie naar het management in te zetten. Niet op een vervelende manier waarbij we de lijnmanager passeren. Nee, helemaal niet nodig, we leggen de keuze gewoon gezamenlijk voor aan het hoogste management, niemand die hiervoor gezichtsverlies hoeft te lijden.

De beveiligingsorganisatie. Het hoeft dus niet perse een formele afdeling binnen de organisatie te zijn, maar kan net zo goed een functionele organisatie zijn. Uiteraard komen er bij de inrichting van de organisatie ook zaken als de budgetten, taken, bevoegdheden en verantwoordelijkheden, de bezetting, de doelstellingen, de verantwoordingen etc., etc. aan de orden. Maar het gaat hier te ver om exact in te gaan op de wijze waarin we de organisatie daarmee inrichten…dat moet gewoon aansluiten bij de rest van de organisatie. Niets exotisch, maar gewoon een reguliere afdeling die past bij de aard en omvang van de totale organisatie.

Informatiebeveiliging: specialistisch advies

  door

Iedereen heeft wel een mening als het gaat om informatiebeveiliging. Een geluk bij een ongeluk? Of juist een ongeluk bij een geluk? Dat is maar net hoe je er naar kijkt. Je kunt het vergelijken met het “thuisdoktoren” zoals iedereen tegenwoordig doet. Pijn in je linkerzij en uitslag op je rechter elleboog? Even Googlen en je hebt je ziekte zo gevonden…daar heb jij de huisarts toch niet meer voor nodig zeker?

Ik heb te doen met de huisartsen van tegenwoordig (jammer trouwens dat zij niet met ons te doen hebben als informatiebeveiligers, maar goed, dat kun je ze eigenlijk niet kwalijk nemen). Heb je net 8 tot 10 jaar gestudeerd om de kwalen te kunnen achterhalen, heeft je patiënt het met 2 minuten internetten ook al gevonden. Probeer die patiënt er dan nog maar eens van te overtuigen dat het toch echt iets heel anders is dan de “ZiektePedia” hem verteld heeft.

Op het gebied van informatiebeveiliging zien we hetzelfde ontstaan. Iedereen heeft er wel een beeld bij, iedereen heeft er wel een mening over en als we het niet weten Googlen we het toch even? Toch is dat niet altijd (of eigenlijk: bijna nooit) het juiste medicijn, daarom gaan we ons de volgende vraag stellen:

Wordt er, waar nodig, specialistisch advies ingewonnen op het gebied van beveiliging?

Inmiddels kunnen we de conclusie trekken dat beveiliging als vakgebied een erg breed vak is. We hebben het over bedrijfskunde, we hebben het over organisatiekunde, we hebben het over risicomanagement, we hebben het over informatietechnologie, we hebben het over bedrijfsprocessen, we hebben het over technische maatregelen en we hebben het over onze gebouwen en mensen.

De kans dat je alle kennis in huis hebt (of wilt hebben) om alle aspecten van beveiliging zelf te kunnen overzien is klein en vaak ook niet nodig. Daar waar nodig kan specialistisch advies van buiten worden ingewonnen. Dat geeft niet alleen een frisse blik maar voorkomt ook dat we alle kennis zelf in huis hoeven te hebben.

Natuurlijk weten we dat het beeld van specialistisch advies duur is. Bedenk echter dat het zelf in huis hebben van al die kennis wellicht vele malen duurder en minder efficiënt is.

‘Pennywise, Pound foolish’, zo kunnen we het in een aantal gevallen wel noemen als we specialistische kennis buiten de deur houden. We pleiten ervoor om organisaties zoveel mogelijk zelf te laten doen maar daar waar nodig specialisten in te schakelen. Deze zijn op de hoogte van de laatste stand van zaken en zijn in staat om de doorvertaling te maken naar de praktijk van de klantorganisatie.

Daarbij moeten we overigens niet de illusie hebben dat iedere informatiebeveiliger hetzelfde kunstje kan. Nee, vanwege de breedte van het vakgebied zijn daarbinnen ook specialisten te vinden. Zo zal de een meer weten van allerlei technische firewalls, terwijl de ander juist weer alles weet van sloten, bouten en moeren. Ook hier kunnen we weer de parallel trekken naar de medische wereld: een huisarts laat je ook geen open hart operatie uitvoeren, toch?

Eigenlijk zouden we informatiebeveiliging veel meer op moeten pakken zoals we dat in de medische wereld al veel langer doen. Denken we dat we een probleem hebben dan gaan we naar de huisarts, die stelt een prognose en verwijst ons door naar een specialist als hij het niet zelf op kan lossen. Zo bezien, ben ik dus eigenlijk een huisarts die graag de prognose stelt om je vervolgens of zelf te helpen of als het buiten mijn specialisatie valt je door te verwijzen.

Voel je je niet zo lekker? Bel me gerust, ik stel vast wat het probleem is en wie je daar het beste bij kan helpen. Misschien moet ik binnenkort eens starten met een spreekuur…lijkt je dat wat? Dan hoor ik het graag.

Dreigingen: oorzaak en gevolg

  door

Gisteren zijn we al ingegaan op de vraag of de dreigingen inzichtelijk zijn. Daarbij zijn we ook al kort ingegaan op de relatie tussen oorzaak en gevolg. Die natuurlijk vergelijkbaar is met zaken als: doel en middel, kip en ei enzovoorts. Als we inderdaad serieus met het inzichtelijk maken van de dreigingen omgaan, dan wordt de volgende vraag:

Zijn de mogelijke gevolgen van een dreiging geïnventariseerd (de risico scenario’s zijn bekend)?

Na de vorige stap hebben we zicht op de dreigingen die ons daadwerkelijk uit het veld kunnen slaan. We hebben hele lijsten met oorzaken en gevolgen. Of eigenlijk hebben we een lijst met allerlei gevolgen en gaan we vandaar uit terugredeneren naar de mogelijke oorzaken voor die gevolgen. Vreemd, maar waar: op de een of andere manier is het voor ons makkelijker om te denken in gevolgen dan in oorzaken. Op zich helemaal niet erg, maar wel goed om te beseffen zodat we nog even doordenken.

Hebben we eenmaal een dreiging geïdentificeerd dan stellen we onszelf nog even de vraag: is dit nu een oorzaak of juist een gevolg? Constateren we dat we hier te maken hebben met een gevolg dan stellen we onszelf de vraag wat dan de mogelijke oorzaken (er kunnen er meer, veel meer zijn) zijn.

Vervolgens kunnen we de kans en de impact voor deze dreigingen bepalen. Dit geeft een indicatie van de prioriteiten die we moeten stellen. Als we de risico analyse helemaal kwantitatief hebben gedaan dan kunnen we er nog echt mee rekenen ook, maar de praktijk is dat veelal statistieken ontbreken om het echt goed kwantitatief aan te pakken. Vaak wordt dan ook voor een meer kwalitatieve manier gekozen, waarbij we wel cijfers kunnen gebruiken maar alleen om de dreigingen onderling vergelijkbaar te maken. Een kans op een schaal van 1 tot 5 en de impact op diezelfde schaal. Het zegt niets over het absolute risico, maar maakt onderling vergelijken een stuk makkelijker.

De kans en impact bepalen is nuttig, maar zoals geschreven dient die stap nog gevolgd te worden met een beschrijving van de echte gevolgen en oorzaken van een dergelijke dreiging. Wat zijn de gevolgen en oorzaken van een overstroming? Wat zijn de gevolgen en oorzaken van een virusuitbraak op ons netwerk? De beveiligingsmaatregelen die we uiteindelijke besluiten te nemen dienen de gevolgen te beïnvloeden of de oorzaken weg te nemen.

Simpel gezegd kunnen we maatregelen nemen die:
• De kans verkleinen;
• De impact verkleinen;
• De kans en impact verkleinen.
Welke we kiezen hangt af van de kans en de impact die we bepaald hebben. Is de kans klein dan kunnen we er beter voor kiezen om de impact te verlagen. Is de impact daarentegen laag dan kiezen we ervoor om juist de kans te beïnvloeden. Zijn zowel de kans als de impact hoog, dan pakken we ze beide bij de horens.

Het risico van het ontbreken van het bepalen van de gevolgen van een dreiging zijn dat we wel allerlei rekenkundige/cijfermatige bepalingen krijgen voor de dreigingen maar dat er alsnog een mismatch ontstaat tussen de te nemen beheersingsmaatregelen en de daadwerkelijke dreiging.

Terugkomend op de overstroming. We kunnen wel proberen om de kans te verkleinen door de Waterschappen te verzoeken de dijken te verhogen maar de kans dat we hier resultaat boeken is slechts beperkt. Beter kunnen we ons richten op de impact. Wellicht is het mogelijk de serverruimte op de eerste verdieping van ons pand te situeren zodat de schade beperkt blijft bij een dijkdoorbraak.

Kortweg moeten we dus kijken naar de beheersingsmaatregelen waar we zelf invloed op uit kunnen oefenen. De maatregelen waar we geen invloed op hebben moeten we wel onderkennen maar kunnen we zelf niet beheersbaar maken.

Informatiebeveiliging: de belangrijkste dreigingen

  door

Hoewel de kop van het blog misschien anders doet vermoeden ga ik hier niet een lijst opnoemen met de belangrijkste bedreigingen op het gebied van informatiebeveiliging. Waarom niet? Op zich heel simpel, dat is niet het doel van mijn blogs en als je ze toch wilt vinden dan kun je er met Google snel genoeg achter komen. Nee, hier wordt juist ingegaan op de vraag en het waarom van de vraag, die dan ook luidt:

Zijn de belangrijkste dreigingen vastgesteld (men weet welke risico’s men loopt)?

Nu we inmiddels hebben gezien dat we moeten redeneren vanuit de operationele risico’s en niet meer vanuit de afzonderlijke beveiligingsmaatregelen kunnen we nader ingaan op de belangrijkste bedreigingen voor de continuïteit voor onze bedrijfsprocessen. Continuïteit van de bedrijfsprocessen, juist, dat is waar het om gaat. Voor die continuïteit heb je natuurlijk allerlei aspecten nodig, denk bijvoorbeeld maar aan: betalende klanten, goed geschoold en gemotiveerd personeel, producten die aan de behoeften voldoen, een organisatiestructuur en ga zo maar door. Informatiebeveiliging is ook een van die aspecten, niets meer en niets minder. Niet belangrijker of minder belangrijk dan al die andere aspecten en de juiste aspecten bij elkaar levert een succesvolle organisatie op (waarbij voor het gemak nog even geen rekening wordt gehouden met de markt en externe factoren die we niet zelf kunnen beïnvloeden).

Op basis van gezond boeren verstand, Google en bijvoorbeeld een brainstormsessie kunnen we de voor ons meest relevante dreigingen inzichtelijk maken. Vervolgens kunnen we voor die dreigingen de kans en de impact bepalen zodat we ook de prioriteiten kunnen stellen. Overigens moeten we wel voor onszelf duidelijk hebben wat de oorzaken en de gevolgen zijn. Brand is bijvoorbeeld niet een oorzaak maar eerder een gevolg, een gevolg van bijvoorbeeld een gefrustreerde medewerker die de boel in de fik steekt of kortsluiting in de meterkast. Twee totaal verschillende oorzaken, die ook een andere set aan maatregelen vereisen.

Vaak zullen we zien dat het gevolg dan misschien wel in het vakgebied van informatiebeveiliging mag vallen, maar dat de oorzaak heel ergens anders ligt. Voor die gefrustreerde medewerker moeten we kijken hoe tevreden ons personeel is, hoe we ze met respect behandelen terwijl we voor die kortsluiting misschien een iets betere administratie van de stroomvoorziening nodig hebben (die ene firewall kon echt niet meer op die groep, maar zonder inzicht blijft het gissen).

Voor een organisatie in het oosten van Nederland zal de kans op een Tsunami waarschijnlijk erg laag zijn terwijl de kans op brand of een virusuitbraak vele malen hoger kan zijn. Het voordeel van het bepalen van de dreigingen die voor onze specifieke organisatie van belang zijn, is dat we deze in de toekomst kunnen hergebruiken en eventueel aan kunnen vullen op basis van onze leereffecten.

Het risico van het niet redeneren vanuit reële dreigingen is dat we de verkeerde problemen het eerst oplossen. We zijn dan misschien wel serieus bezig met het onderwerp maar onze scope ligt verkeerd en ons budget wordt niet goed besteed waardoor we de echte risico’s onvoldoende afdekken.

Stel jezelf de vraag: wat kan ons uit het veld slaan? En is dat dan een gevolg of een oorzaak? Als we dat weten kunnen we een bewuste keuze maken: willen we er iets aan doen, of juist niet? En als we er wat aan willen doen, wat is dat dan?

Kosten/baten analyse voor beveiliging

  door

Gisteren zijn we kort ingegaan op het risicomanagement dat we moeten voeren. Daarbij zijn we ook al ingegaan op de juiste set aan beveiligingsmaatregelen (als we er tenminste voor hebben gekozen de risico’s te mitigeren). Leuk en aardig allemaal, natuurlijk, maar als we willen gaan voor een efficiënte benadering zullen we dus ook moeten kijken naar de kosten en de baten. De volgende logische vraag is dan ook niet voor niets:

Vinden de beslissingen om beveiligingsmaatregelen te nemen plaats op basis van een kosten/baten analyse (business value)?

Als ik je vraag om een briefje van € 10,- te beveiligen, ga je natuurlijk geen kluis aanschaffen van € 1.000,-. Dat zou wel erg vreemd zijn, toch? De kosten wegen dan niet tegen de baten op. Toch zien we in de praktijk dat de kosten voor de beveiligingsmaatregelen best inzichtelijk te maken zijn, de baten zijn echter een ander verhaal. Wat is het ons eigenlijk waard om dat stuk informatie te beveiligen? Of anders gezegd: wat is de waarde van die informatie voor ons? De beveiligingsmaatregel die getroffen wordt moet afgestemd zijn op het risico en op de waarde van hetgeen we willen beveiligen.

Hoewel we in de praktijk wel veel zien dat de kosten voor verschillende beveiligingsmaatregelen onderling worden vergeleken (en er dan veelal voor de goedkoopste oplossing wordt gekozen, waarbij we de kwaliteit nog wel eens uit het oog verliezen maar goed, dat is een ander verhaal) zien we nog te weinig dat er een goede business case wordt opgesteld.

Om te kunnen bepalen wat een beveiligingsmaatregel zou mogen kosten moeten we kijken naar de waarde die we willen beveiligen. Dat kan direct waarde zijn (bijvoorbeeld in de vorm van geldelijke waarde) maar kan ook betekenen dat we de gevolgen van een incident moeten doorberekenen. De vraag die we bijvoorbeeld kunnen stellen is: wat kost het ons als het proces een dag uitvalt en wat zijn de kosten van de maatregelen om die uitval te voorkomen.

Een goede, doorgerekende, business case zou altijd ten grondslag moeten liggen aan de keuze om wel of niet te investeren in een beveiligingsmaatregel. Hierbij moeten we niet uit het oog verliezen dat we bepaalde risico’s ook best kunnen accepteren omdat bijvoorbeeld de kwaal erger (lees ook: duurder) is dan het middel.

Het risico van het ontbreken van een goede kosten/baten analyse is het ontbreken van zicht op de mate waarin de beveiligingskosten opwegen tegen de daadwerkelijke waarde of de gevolgschade. Afhankelijk van de organisatie wordt er dan al snel te weinig aan beveiliging besteed, waardoor we risico’s lopen. Of er wordt juist vele malen teveel besteed aan beveiliging waardoor de beveiligingsmaatregelen te duur uitvallen.

Als we op deze wijze omgaan met risicomanagement en kosten/baten analyses dan kunnen we concluderen dat het helemaal niet draait om informatiebeveiliging of operationele risico’s. Nee, het draait allemaal om de zogenaamde “enterprise risks” en die kunnen we kortweg samenvatten als: omzet, kosten en imago.

Als gevolg van een beveiligingsincident zullen we zien dat we omzet mislopen (omzetdaling), dat we veel kosten moeten maken om terug te keren naar de business as usual (kostenstijging) en dat bij het bekend worden van een incident ons imago een deuk op kan lopen (imagoschade). Onze kosten/baten analyse moet daarop gebaseerd zijn, dan kunnen we met een goed verhaal naar het management gaan…en begrijpen ze ons ook beter dan dat we iets roepen over het risico op brand, hacking, cracking of virussen.

Kortom: als informatiebeveiliging ondersteunend is aan de bedrijfsvoering, dan moeten we die relatie ook leggen om de juiste, evenwichtige set aan maatregelen te nemen.

Risicomanagement

  door

Hoewel we het er kort geleden ook al over hebben gehad, is de vraag dusdanig van belang dat we hem niet over slaan. Het staat namelijk aan de basis van alles wat we doen op het gebied van de informatiebeveiliging, nou ja theoretisch dan, in de praktijk komen we nog wel eens tegen dat er aan informatiebeveiliging gedaan wordt zonder risicomanagement. Dat is niet alleen heel erg inefficiënt maar nog gevaarlijk ook. Hoe weten we immers of we de juiste dingen doen en of we de dingen juist doen zonder de volgende vraag te beantwoorden:

Is het risicomanagement ingevoerd?

Om te voorkomen dat we verzanden in allerlei losstaande en inefficiënte beveiligingsmaatregelen moeten we ons baseren op de daadwerkelijke risico’s die de organisatie loopt. Simpel gezegd moeten we geen beveiligingsmaatregelen nemen maar operationele risico’s afdekken en om die operationele risico’s af te dekken hebben we (soms) beveiligingsmaatregelen nodig.

Redeneren we vanuit operationele risico’s dan kunnen we ook een afgewogen set aan technische, procedurele, organisatorische, bouwkundige en elektronische maatregelen nemen om de risico’s af te dekken.

Risicomanagement kunnen we op een kwantitatieve of een kwalitatieve wijze organiseren. We kunnen er allerlei statistieken en financiële gegevens op los laten om de risico’s te bepalen maar we kunnen ook op basis van gezond boeren verstand kijken welke risico’s reëel zijn en wat de kans en de impact van die risico’s is op de continuïteit van de bedrijfsprocessen. Zelf ben ik voorstander van een kwalitatieve methode, omdat in veel gevallen de statistieken nog ontoereikend zijn.

Het grootste risico van het ontbreken van risicomanagement is dat we wel allerlei beveiligingsmaatregelen treffen maar geen zicht hebben op het feit welke risico’s nu daadwerkelijk worden afgedekt. Er ontstaat inefficiëntie en mismatch tussen de beveiligingsmaatregelen en de operationele risico’s. Vergeet overigens niet dat er verschillende soorten risicomaatregelen zijn.

Op hoofdlijnen zijn te onderscheiden:

  • Het risico vermijden, door bijvoorbeeld de risicovolle activiteit in zijn geheel niet uit te voeren;
  • Het risico accepteren, dus weten dat er een mogelijk risico is, maar geen preventieve maatregelen nemen (wel is het verstandig om in dat geval goed naar de detectieve, repressieve en correctieve maatregelen te kijken, als het risico zich dan openbaart kunnen we er snel op in spelen);
  • Het risico overdragen, door bijvoorbeeld een verzekering af te sluiten of door het risico neer te leggen bij een leverancier of afnemer;
  • Het risico mitigeren, een juiste set aan beveiligingsmaatregelen nemen om het risico naar een acceptabel niveau terug te brengen. Het risico hoeft daarbij niet in zijn geheel te worden weggenomen, restrisico’s kunnen we dan weer accepteren.

Het gevolg van het ontbreken van risicomanagement en het niet maken van bewuste keuzes is dat we schijnveiligheid creëren waarbij we niet de juiste, te weinig of juist teveel beveiligingsmaatregelen treffen. Operationele risico’s blijven bestaan, we besteden het budget niet efficiënt en we maken het voor de medewerkers lastig om hun dagelijkse werkzaamheden goed (en efficiënt) uit te voeren. Bijkomend gevaar is dat het management denkt dat het allemaal onder controle is, we nemen immers allerlei maatregelen, dus het moet wel goed zitten, toch?

Zonder risicomanagement draagt beveiliging niet bij aan het bereiken van de doelstellingen van de organisatie maar bemoeilijkt ze juist. Deze zin staat er even snel, maar bedenk dat het risicomanagement dat we voeren aan moet sluiten bij de totale strategie, missie, visie en doelstellingen van de organisatie. We zijn ondersteunend aan het bereiken van de doelen van de organisatie, we willen niet in de weglopen, maar willen ook niet dat we onacceptabele risico’s lopen.

Periodieke beveiligingsrapportage

  door

Oei, vandaag is het 13 mei, vrijdag 13 mei. Alle bijgelovige (security) managers houden hun hart vast…wat voor ongeluk staat ons vandaag allemaal nog te wachten. Wacht, ik maak het nog erger voor je.

Ja, 100% beveiligen is niet mogelijk, dus we lopen altijd de kans verrast te worden door een incident waar we niet op hadden geanticipeerd. Maar, als we beveiliging serieus hebben aangepakt, dan hebben we de kans inmiddels wel een stuk verkleind en is het management volledig op de hoogte van de status van de beveiliging. En voor die gevallen waar het dan toch fout lijkt te gaan, kunnen we altijd teruggrijpen op ons Business Continuity Plan. Mooi bruggetje naar de volgende vraag, lijkt me zo:

Wordt er periodiek gerapporteerd over de status van beveiliging aan de (hoogst) verantwoordelijke binnen de organisatie (CEO, CSO, ..)?

Ik zal niet ontkennen dat deze vraag erg nauw aansluit bij de vorige, maar als we de beveiliging dan toch meten, waarom leggen we daar dan geen verantwoording over af? Managers (ik bedoel nu even niet de security managers) die beveiliging en risicomanagement serieus willen nemen, ontbreekt het vaak aan goede managementrapportages. Ze hebben geen zicht op wat er met de (veelal hoge) beveiligingsbudgetten gebeurt is, welke risico’s we lopen en vragen zich vaak terecht af of dat geld niet op een andere wijze tot meer rendement had kunnen leiden. Ehm, ja, waarschijnlijk hadden we met het geld inderdaad meer rendement kunnen lopen…maar dat was dan misschien wel een risicovolle investering geweest.

De opmerking die ik nog wel eens hoor is dat het management het allemaal niet wil horen. Volgens mij (en dat is misschien naïef) klopt dat helemaal niet. Ze willen het wel degelijk horen, maar dan wel in hun taal en niet in allerlei oeverloze details die ze (terecht) toch niets zegt.

Het management heeft recht op inzage in de bestedingen. Werken we met een proactieve en preventieve wijze van beveiligen dan kunnen we de begroting vooraf inzichtelijk maken. Waarbij overigens niet gezegd wordt dat er geen budget gereserveerd hoeft te worden voor onvoorziene omstandigheden. Maar geloof me, dat budget komt er echt wel als het voortbestaan van de organisatie in gevaar komt.

Het risico van het ontbreken van managementrapportages is gebrek aan inzicht bij het management. Terecht krijgen zij geen goed gevoel bij de bestedingen en bij de eerst volgende bezuinigingsronde zal dan ook extra kritisch gekeken worden naar de bestedingen op dit gebied. Misschien wordt er niet eens kritisch naar de besteding gekeken maar wordt er vrij simpel 20% van je budget afgesnoept. Als we beveiliging tot op heden nog niet goed genoeg hebben aangepakt zullen ze daar waarschijnlijk niet eens iets van merken.

We kunnen deze bezuinigingsronde gelaten over ons heen laten gaan en accepteren dat we het met nog minder moeten doen. Maar we kunnen deze bezuiniging ook aangrijpen om aantoonbaar te maken wat we dan (20%) minder gaan doen en hoe dat doorwerkt op de risico’s van de organisatie. Het management heeft er recht op te weten welke risico’s met minder budget zullen toenemen. Kunnen we die 20% zomaar slikken, dan hebben we de afgelopen jaren misschien wel altijd teveel budget ontvangen. Bezuinigingen zijn op zich ook helemaal niet slecht, als de organisatie en wij daar maar goed mee omgaan (ja ik weet het, dat gebeurt vaak, ogenschijnlijk, niet) en de consequenties inzichtelijk maken. Doen we dat niet dan zullen we vele slapeloze nachten hebben omdat we niet meer weten waar we het vandaan moeten halen…kwestie van rapporteren en de pijn neer leggen waar hij hoort.

Vergeet niet dat beveiliging nog steeds een lijnverantwoordelijkheid is en dat daar dus de budgetten beschikbaar moeten zijn. Het beveiligingsbudget dat de security afdeling beschikbaar heeft moet er op gericht zijn om voldoende te kunnen doen aan het inrichten van de beveiliging en de advisering van de lijn. We hoeven vanuit dat budget niet de processen, producten en diensten te beveiligen. Nee, dat zal de verantwoordelijke lijnmanager moeten doen, die zal moeten bepalen welke 20% van beveiliging hij daarvan wegbezuinigd.

Bij het ontbreken van financieel inzicht ontstaat een vicieuze cirkel. Het management vraagt zich af wat er in hemelsnaam met het budget gedaan is en welke incidenten voorkomen zijn. Hierdoor ontstaat de neiging om op beveiliging te bezuinigen waardoor er de kans op een goede managementrapportage wordt verkleind. Het management krijgt nog minder inzicht en als snel bevinden we ons in een neerwaartse spiraal waarbij we welhaast kunnen wachten op een volgend groot incident. Dat laten we ons toch niet gebeuren? Nee, voordat het kalf verdronken is gaan we werken aan een goede periodieke beveiligingsrapportage.

Meten van de doeltreffendheid van beveiliging

  door

We zijn inmiddels toch behoorlijk op weg om informatiebeveiliging serieus in te bedden in de organisatie. We hebben beleid, dat door het (top)management gesteund wordt en zij geven ook nog het juiste voorbeeld.

Maar, de liefde kan natuurlijk niet van een kant komen. Nee, nu zullen we vanuit beveiliging ook onze verantwoordelijkheid moeten nemen en ervoor moeten zorgen dat de beveiligingsaanpak verder volwassen wordt. Willen we dat, dan zullen we dus moeten meten hoe goed we het eigenlijk doen, wat we meer moeten of kunnen doen maar ook wat we inmiddels misschien af kunnen schaffen. Geen toeval, natuurlijk, maar de volgende vraag sluit daarbij aan.

Is er een meetsysteem om de doeltreffendheid van de integrale beveiliging te beoordelen en verbeteringen inzichtelijk te maken?

Zodra we besloten hebben om beveiliging als regulier bedrijfskundig aspect te benaderen, mogen we ook verwachten dat er verantwoording wordt afgelegd over wat er met het budget gerealiseerd is, hoe goed datgene werkt en welke incidenten we (wellicht) voorkomen hebben. Ja, we moeten de doelstellingen voor beveiliging dus SMART maken en op basis van KPI’s meten hoe goed we wel niet bezig zijn.

Beveiliging is geen eenmalige activiteit maar een repeterende handeling, juist daarom kunnen we de doelstellingen bepalen en meten, dat doen we met allerlei regelkringen. Het hoeft dus niet allemaal morgen al af, maar we moeten een begin maken om over een aantal jaar te staan waar we willen staan. Beveiliging is een onderdeel van de bedrijfsvoering, een onderdeel van alle processen en systemen. We zullen ooit moeten beginnen aan het serieus oppakken van beveiliging. In het begin vergt dat veel inspanning, veel tijd, veel geld en veel kennis voor de ontwikkeling. Naarmate we de basis hebben gelegd en de cyclus meerdere keren hebben doorlopen, wordt het beter ingebed in de rest van de organisatie. Met andere woorden: we hoeven minder te ontwikkelen, maar hebben meer te onderhouden. Vergeet daarbij overigens niet dat sommige maatregelen na verloop van tijd weinig meerwaarde meer hebben en dus uitgezet kunnen worden. Heb je nog een slotgracht om je gebouw die om de zoveel jaar uitgebaggerd moet worden zodat de ridders niet over kunnen steken? Misschien moeten we dan inmiddels ons doel wat bij gaan stellen.

Aan de hand van incidenten en ontwikkelingen buiten onze organisatie zullen we de beveiliging continu bij moeten stellen. Het ontbreken van een meetsysteem en het ontbreken van managementrapportages zorgt ervoor dat het (top)management geen zicht heeft op status van de beveiliging. Nou ja, dat is de nette versie, eigenlijk nemen ze ons gewoon niet serieus (en neem het ze eens kwalijk? ze geven ons veel geld maar weten niet wat we er mee doen en hoe goed we dat dan doen). Sterker nog, als we niet meten hoe goed we het doen, hoe groot wordt dan de kans dat we verrast worden door een incident vanwege een maatregel die we missen of die gewoon niet meer werkt. Hoe vaak controleer jij de batterijen van de brandmelders thuis? Juist, ik bedoel maar. Ja, zul je zeggen, maar die gaat piepen als de batterij leeg is, juist, helemaal juist…een meetsysteem dus.