Auteur:

Beveiliging & “the tone at the top”

  door

Eerder hadden we het al over voldoende steun en betrokkenheid van het (top)management binnen de organisatie. Hoewel de volgende vraag daar dicht tegen aan ligt, is er toch een klein verschil.

Geeft het management het goede voorbeeld ten aanzien van integrale beveiliging?

Naast zichtbare steun en betrokkenheid bij beveiliging moet het management ook het goede voorbeeld geven. Beveiligingsbeleid geldt voor de gehele organisatie. Dus niet alleen voor de medewerkers maar zeker ook voor de top van de organisatie. Te makkelijk wordt het beleid vastgesteld en voor iedereen van kracht verklaard…behalve voor het (top)management. Natuurlijk moet iedere medewerker zijn of haar toegangspas zichtbaar dragen (als we dat tenminste in het beleid bepaald hebben, is een keuze). Maar als het management vindt dat zij wel op hun blauwe ogen vertrouwd kunnen worden en besluiten om deze pas lekker in de binnenzak te houden dan is dat niet de juiste “tone at the top”.

Niet voor niets is al jaren het gezegde: ‘Goed voorbeeld doet volgen’. Dat geldt overigens ook voor slecht voorbeeld gedrag. Kunnen we het de medewerkers kwalijk nemen als ze zich niet aan de regels houden als het management dat ook niet doet? Zijn we roomser dan de paus? Nee, beleid en regels gelden voor iedereen…tenminste, als we er echt voor willen zorgen dat het gaat werken.

Als het management het niet zo nauw neemt met beveiligingsmaatregelen dan kan van het personeel niet verwacht worden dat zij zich er wel aan zullen houden. Beveiliging wordt bereikt door de cultuur in de organisatie. Ook hiervoor geldt dat beveiliging geen exotische buitenstaander is. De algehele cultuur van een organisatie is uitgangspunt voor de beveiligingscultuur van die organisatie. Hoe vaak zien we niet dat een organisatie veel geld besteedt aan een security awareness campagne zonder de link te leggen met de algemene cultuur binnen de organisatie? De beveiligingscultuur zal niet wezenlijk anders zijn of worden omdat we dat zo graag willen en daar die campagnes tegenaan gooien. Nee, de beveiligingscultuur staat, net als de rest van beveiliging, niet los maar is onderdeel van het grotere geheel. Daarom werken veel security awareness campagnes dan ook niet echt (ja, uit de uitkomsten van de sociaal wenselijke enquêtes blijkt wat anders, ik weet het, maar is het ook echt meetbaar in houding en gedrag en dus minder incidenten en risico’s?).

De cultuur in de organisatie verandert niet, nee, de mensen in die organisatie veranderen en de cultuur verandert daarmee mee. Als we dat accepteren dan zullen we ook inzien dat het wijzigen van een cultuur veel meer in zich heeft dan een simpele campagne of posteractie. Cultuur veranderingen duren vele jaren en daar is veel kennis en inzicht bij nodig…dat kun en mag je niet aan de security manager over laten.

Het grootste risico van een onjuiste ‘tone at the top’ is dat het beveiligingsbeleid en de voorschriften en procedures die zo nauwlettend zijn opgesteld een papieren tijger zijn geworden. Papieren tijgers waar niemand op zit te wachten (nou ja, de auditor of toezichthouder dan misschien). Nee, als we beveiliging echt goed willen inrichten dan is dat beleid niet zomaar een papiertje, nee het is iets dat echt impact heeft of moet hebben. Willen we dat niet? Ook dat is geen probleem, dan moeten we daar alleen het beleid op aanpassen.

Beveiligingsbudget

  door

De volgende vraag uit de volwaardige scan gaat in op de zichtbare steun en betrokkenheid van het (top)management. Maar misschien kun je het je nog herinneren, die vraag hebben we afgelopen vrijdag ook al behandeld, deze slaan we voor het gemak (en de leesbaarheid) dan ook maar even over en we gaan gelijk naar de volgende vraag:

Is er voldoende budget beschikbaar om de onderkende risico’s af te dekken?

Een dooddoener zul je zeggen, maar toch komen we in de praktijk nog vaak tegen dat het budget voor beveiliging niet op een gefundeerde wijze tot stand is gekomen. Er wordt voortgeborduurd op de budgetten zoals we die in het verleden hebben bepaald (en doen daar iets bij of af, afhankelijk van het economisch klimaat, zullen we maar zeggen). Op zich allemaal heel verklaarbaar natuurlijk, maar als we beveiliging echt serieus willen nemen, dan moet hij gewoon meedraaien in de normale planning en control cyclus van de organisatie.

We kunnen het budget dan eigenlijk ook alleen maar bepalen als we weten welk risicogedrag de organisatie accepteert, wat de inhoud van het beveiligingsbeleid is en op welk niveau we nu al staan (op basis daarvan kunnen we berekenen wat we nodig hebben voor ontwikkeling en onderhoud). Vanuit security management moeten we ook daadwerkelijk verantwoording af gaan leggen over wat we met het beschikbare budget hebben gedaan, we moeten gaan plannen en de effectiviteit van ons handelen inzichtelijk maken.

Beveiliging heeft het imago duur te zijn. Met een verkeerde aanpak kan dit inderdaad het geval zijn. Daarnaast wordt vaak gezegd dat het allemaal wel mee zal vallen of dat het ons niet zal overkomen. Door uit te gaan van de operationele risico’s kan een weloverwogen beslissing worden genomen over de risico’s die we kunnen accepteren en de risico’s waar we beheersingsmaatregelen voor moeten treffen.

Beveiligingsmaatregelen kunnen worden onderverdeeld in preventieve, detectieve, repressieve en correctieve maatregelen. Bij een proactieve aanpak wordt een deel van het budget aan preventieve maatregelen besteed waarmee incidenten voorkomen (moeten) worden. Dit is een directe investering (dus geen kostenpost) voor de toekomst. Bij een verkeerde aanpak of te weinig budget voor preventieve maatregelen zullen de kosten voor detectieve, repressieve en correctieve maatregelen toenemen als gevolg van een incident. Hieruit kunnen we dus concluderen dat als we zicht willen hebben op onze middelen (= bijv. geld) voor beveiliging we beter proactief keuzes kunnen maken om niet verrast te worden (dat zijn immers meestal nogal dure verrassingen waar we niet op zitten te wachten).

Beveiliging kan in veel gevallen gezien worden als verzekering. We moeten ervoor zorgen dat we niet dubbel maar zeker ook niet onderverzekerd zijn. We hebben toch allemaal wel een of meer verzekeringen? Sterker nog, de gemiddelde Nederlander is veel te goed verzekerd…maar goed. Voor beveiliging geldt hetzelfde: ga na wat we willen beveiligen/verzekeren en trek daar de middelen voor uit, niet meer, maar ook niet minder.

Het voordeel van preventieve maatregelen is dat we ze veelal vooraf goed kunnen budgetteren. Voor de kosten die gemaakt moeten worden na een incident zijn deze budgetten veel moeilijker te maken. De kosten na een incident kunnen onbeheersbaar zijn. Een incident mag zich dan uiten als beveiligingsaspect, de oorzaak ligt daar meestal niet. Neem als voorbeeld een brand: de gevolgen linken we al snel aan beveiliging, maar de oorzaak is misschien wel een gefrustreerde, boventallige, medewerker die besluit de boel in de hens te steken? Of misschien sluiten we per ongeluk nog een firewall extra aan op de stoppenkast waardoor kortsluiting ontstaat. De gevolgen mogen dan beveiliging zijn, de oorzaak is dat niet. Juist daarom pleiten we ervoor beveiliging als regulier aspect van de bedrijfsvoering mee te nemen en niet als een los exotisch aspect.

Zo, voldoende over budgetten. Sluit aan bij de reguliere budgetbepaling van de organisatie en het zal allemaal een stuk beter lopen. Ik hoor het wel van je.

Begrip van beveiligingseisen en risicomanagement

  door

De afgelopen 2 weken zijn we door de quickscan voor informatiebeveiliging heen gelopen. Met deze scan kan snel bepaald worden of er aandacht voor informatiebeveiliging en risicomanagement nodig is. Maar ja, een quickscan is maar een vluchtig overzicht, er is immers nog zoveel meer over te schrijven. Maar niet gevreesd, daar gaan we de komende tijd op in. We zullen ingaan op de vragen die we doornemen als we een volwaardige volwassenheidscan willen doorlopen. Soms liggen de vragen misschien wat dicht tegen de quickscan aan, maar dat is logisch want de uitgebreidere scan (het woord zegt het al) is dus een uitgebreidere versie van de quickscan.

Maar genoeg inleiding voor nu. De eerste vraag uit de volledige scan gaat in op beveiligingsbeleid en de doelstellingen. Omdat we die twee weken geleden al hebben behandeld, slaan we die voor nu even over en gaan direct door met de vraag:

Is er een goed begrip binnen de organisatie van beveiligingseisen en risicomanagement?

Beveiliging is geen doel op zich, daar zijn we inmiddels wel genoeg op ingegaan, maar we herhalen het toch nog maar even. Nee, beveiliging is een middel dat bij moet dragen aan de continuïteit van de primaire en secundaire bedrijfsprocessen van de organisatie. Of in gewoon Nederlands: het moet zo min mogelijk geld kosten en er, als het even kan, ook nog voor zorgen dat we er juist meer omzet door kunnen draaien.

Een goed begrip van beveiliging, beveiligingseisen en risicomanagement is daarom nodig binnen alle lagen van de organisatie om in te kunnen schatten welke operationele risico’s de organisatie kunnen raken, hoe erg dat dan is en welke beheersingsmaatregelen daarvoor eventueel getroffen kunnen worden. Het middel mag nooit erger zijn dan de kwaal, dus we moeten voorzichtig zijn en goede afwegingen maken.

Met betrekking tot operationele risico’s kunnen we op basis van een kosten/baten analyse simpel de volgende strategieën onderkennen:
• De risico’s accepteren;
• De risico’s mitigeren;
• De risico’s (of de gevolgen daarvan) overdragen aan een derde.

Welke risico’s we onacceptabel vinden verschilt per organisatie, per proces, per informatiesysteem en eventueel per gebouw. Zo kunnen we bijvoorbeeld voor ons hoofdkantoor bepalen dat we sommige risico’s niet wensen te lopen, terwijl we dat voor een bijkantoor misschien wel doen.

Het ontbreken van een goed begrip met betrekking tot beveiliging, beveiligingseisen en risicomanagement draagt het risico met zich mee dat er teveel, te weinig of de verkeerde activiteiten ontplooit worden op het gebied van beveiliging. Teveel beveiligen betekent dat er teveel kosten gemoeid zijn met de aanpak en dat het dagelijkse werk voor de medewerkers bemoeilijkt wordt. Te weinig of de verkeerde activiteiten zorgen voor schijnveiligheid en het in stand houden van onacceptabele risico’s. Een incident als gevolg van de verkeerde aanpak van beveiliging kan hoge kosten met zich meebrengen of kan voor (definitieve) discontinuïteit van de organisatie zorgen.

Daarbij moeten we niet alleen kijken naar de directe kosten die gemoeid zijn met het incident, maar juist ook met de gevolgschade (want die heeft veelal de grootste impact). Neem nu een brand: de organisatie ondervindt erg veel last van die brand maar gelukkig hebben we ons gebouw goed verzekerd. Tot zover niets aan de hand, maar gaan onze klanten een jaar op ons wachten totdat we weer kunnen leveren? Lopen de kosten (bijv. van ons personeel) in dat jaar niet gewoon door? Zijn we niet straks echt alle klanten kwijt aan onze concurrent? Dat zijn de gevolgen waar we echt wakker van moeten liggen en die meestal niet verzekerd zijn. We hebben dan ons gebouw wel terug, maar geen klanten meer (en dat zorgt uiteindelijk voor de discontinuïteit).

Maar wat is nu een goed begrip dan? Een goed begrip betekent dat we inzien dat het eigenlijk helemaal niet om die dure, afzonderlijke, technische, ingewikkelde maatregelen en incidenten gaat maar juist om een goede aansluiting bij de rest van de strategie van de organisatie en de mogelijke echte gevolgschade na een incident. Daarvoor is dan bijvoorbeeld weer een goed (en goedgekeurd) beveiligingsbeleid en een ingerichte beveiligingsorganisatie nodig.

Meer weten? Ik hoor natuurlijk graag van je.

Steun en betrokkenheid van het management

  door

Gefeliciteerd, je hebt het einde van de quickscan gehaald…tenzij je natuurlijk je geduld niet op de proef wilde stellen en direct na de eerste stap de quicskscan op de site hebt ingevuld. Dan zal het je ook niet verbazen wat deze tiende en laatste vraag is. Het mag dan wel de (voorlopig) laatste vraag zijn, toch is het niet de minst belangrijke. Laten we er niet verder omheen draaien en aan de slag gaan.

De tiende vraag die we moeten stellen is:
Is er zichtbare steun en betrokkenheid van het (top)management voor integrale beveiliging en geeft het management het goede voorbeeld?

En het antwoord? Ja, nee of weten we het eigenlijk niet?

Als je, als verantwoordelijke voor de informatiebeveiliging, door het (top)management geconfronteerd wordt met de uitspraak: “prima beveiligingsmaatregelen, maar ze gelden natuurlijk niet voor mij.” Dan heb je een serieus probleem te pakken. Je zult de informatiebeveiliging dan ook nooit goed van de grond krijgen en loopt zelfs het risico dat je er door de frustratie aan onder door gaat.

Maar als je de tien stappen uit deze quickscan volledig doorlopen hebt en je het management mee hebt genomen in je zoektocht dan zou er toch al een vorm van steun en betrokkenheid moeten zijn ontstaan. Als je dus bij deze stap bent aangekomen en die steun is er nog niet dan moeten we teruggrijpen op de eerdere vragen. Daar zullen we de tien stappen dan ook maar mee afsluiten, vind je niet?

  1. Heb je het beveiligingsbeleid wel laten bekrachtigen door het (top)management en sluiten de doelstellingen van beveiliging wel aan bij de organisatiedoelstellingen?
  2. Is het (top)management ook beschreven in de organisatiebeschrijving en zijn aan hen ook taken, bevoegdheden en verantwoordelijkheden toegewezen?
  3. Worden de genomen beveiligingsmaatregelen wel periodiek en onafhankelijk beoordeeld en komen deze auditrapportages wel bij het (top)management aan?
  4. Heb je gebruik gemaakt van normen, best practices en richtlijnen uit de branch die logisch in elkaar zitten en goed aansluiten bij de beeldvorming van het (top)management?
  5. Is het risicomanagement framework goed opgezet en heeft het (top)management dat geaccordeerd?
  6. Heb je het beveiligingsbewustwordingsprogramma niet alleen gericht op de medewerkers maar heb je ook een speciaal programma voor het (top)management waarbij ze risicobewust gemaakt worden?
  7. Is inzichtelijk gemaakt welke risico’s de continuïteit van de organisatie kunnen bedreigen en heeft het (top)management de restrisico’s formeel geaccepteerd?
  8. Is er een overzicht opgesteld van kritische bedrijfsprocessen en gegevens en is het (top)management het wel met dit overzicht eens?
  9. Is het (top)management zich wel bewust van de mogelijke gevolgen van het niet voldoen aan wet- en regelgeving?

Heb je na de 10 stappen en na de 9 controlevragen nog steeds geen steun van het management? Dan is het wellicht de moeite waard om je positie binnen de organisatie nog eens tegen het licht aan te houden. Als er echt geen behoefte is, waarom is je functie er dan? Waarom zouden ze er dan wat aan doen? Maar, eerlijk is eerlijk, als we het op de juiste wijze aanpakken en reëel blijven dan is er geen (top)manager die willens en wetens niets aan informatiebeveiliging doet. Heb jij toevallig die ene manager die dat wel doet getroffen? Maak je geen zorgen, binnenkort staat hij in de krant en voor het groene bankje.

Zo zijn we aan het eind gekomen van een 10daagse reis, hopelijk kun je de inspanning waarderen en kun je een of meer van de stappen in de dagelijkse praktijk goed gebruiken. Uiteraard ben ik reuze benieuwd naar je reactie op de tien stappen en hoor ik graag van je.

Oh ja, voor de laatste keer en voor het geval je de eerdere stappen toch liever overzichtlijk bij elkaar hebt, je kunt de quickscan nog steeds zelf doorlopen door hier te klikken of door me snel uit te nodigen voor die bak koffie. Uiteraard is deze scan ook beschikbaar voor mensen die mijn blog de afgelopen 10 dagen niet gevolgd hebben.

Wet- en regelgeving

  door

Eerder deze week hebben we al gekeken naar de normen, best practices en richtlijnen uit de branche. Daarmee dekken we al een behoorlijk stuk van de beveiliging af. Toch moeten we ook de wet- en regelgeving in dit geval niet vergeten. Daarom gaan we daar vandaag kort op in.

De negende vraag die we moeten stellen is:
Is de wet- en regelgeving waaraan de organisatie moet voldoen inzichtelijk en kan aantoonbaar worden gemaakt dat hieraan wordt voldaan?

En het antwoord? Ja, nee of weten we het eigenlijk niet?

Wees gerust, hier komt geen heel verhaal met allerlei droge tekst en verwijzingen naar artikelen in de wetboeken. Waarom niet? Nou eigenlijk omdat er niet zo gek veel wet- en regelgeving is op het gebied van informatiebeveiliging. Vanuit de Wet Bescherming Persoonsgegevens moeten we het een en ander regelen en daarnaast bestaat er nog zoiets als de Wet op de Computercriminaliteit. Maar goed, als we al serieus bezig zijn met informatiebeveiliging dan voldoen we al aan grote delen van die wetgeving.

Daarnaast kan er vanuit de branche of EU nog aanvullende regelgeving zijn, maar die is dan specifiek voor dat soort organisaties. Zo zullen de banken net iets meer moeten doen dan de bakker op de hoek en gelden er weer andere eisen voor die kerncentrale. De organisaties waar aanvullende regelgeving voor geldt zijn vaak meer gereguleerd en staan onder controle.

Maar, vraag je je misschien af, is er dan niet zoiets als de ARBO-wet voor informatiebeveiliging? Nou, nee, die is er niet. Natuurlijk kunnen we teruggrijpen op allerlei algemene wetgeving die ons verplichtingen oplegt, maar daar moest je toch al aan voldoen, ook zonder informatiebeveiliging.

Met een gezond boerenverstand, algemene normenkaders en best practices zijn wel al een heel stuk op weg. Misschien wil je nog specifiek aandacht besteden aan de Wet Bescherming Persoonsgegevens, maar ook daarvoor zijn er zelfevaluaties beschikbaar.

Wet- en regelgeving kan een droog vakgebied zijn (althans, dat is wat ik nog wel eens hoor). Een geluk bij een ongeluk, maar voor informatiebeveiliging is er niet heel veel specifieke wetgeving beschikbaar. Maar wat niet is kan zeker nog komen, je zult dus wel goed op de hoogte moeten blijven want het kan zomaar veranderen. Maar, als je toch al serieus met het vakgebied bezig bent, dan zul je door die wetgeving niet heel snel worden ingehaald. Wow, we zijn er bijna. Nog een vraag en we hebben alle tien de vragen beantwoord. Op naar vraag 10 dan maar.

Nogmaals, voor diegene onder jullie die echt niet 10 dagen willen wachten, je kunt de quickscan zelf ook al doorlopen door hier te klikken of door me snel uit te nodigen voor die bak koffie.

Kritische bedrijfsprocessen en gegevens

  door

Gisteren hebben we al gezien dat we onze risicostrategie aan moeten passen aan hoe kritisch het bedrijfsproces is of de gegevens zijn. Leuk gezegd, maar wat zijn dan die kritische processen en gegevens? Ho, ho, niet zo snel, dat is nu juist de vraag waar we vandaag naar kijken.

De achtste vraag die we moeten stellen is:
Zijn de kritische bedrijfsprocessen en gegevens inzichtelijk en zijn er continuïteitsplannen en uitwijkmogelijkheden voor deze processen?

En het antwoord? Ja, nee of weten we het eigenlijk niet?

We moeten dus gaan kijken en onderzoeken van welke bedrijfsprocessen de organisatie echt afhankelijk is. We kunnen daarvoor het bedrijfsprocessen model van de organisatie gebruiken (voor zover die er is) maar we moeten ook zeker niet vergeten dat er veel processen zijn die niet duidelijk gedefinieerd zijn maar waar we wel heel erg van afhankelijk zijn.

Ik wil hier niet belanden in een discussie over wat nu exact de definitie is van een proces maar neem nu email eens als voorbeeld. In de feitelijke vorm niet echt een proces, maar wel een middel waar we erg van afhankelijk zijn geworden. Daarmee kunnen we direct de conclusie trekken dat we wel zicht moeten hebben op de kritische processen, maar dat we een proces op zich niet echt goed kunnen beveiligen.

Nee, we moeten de risico’s voor zo’n proces bepalen, maar we moeten uiteindelijk maatregelen nemen om de geautomatiseerde en de niet geautomatiseerde data, de assets en de mensen te beveiligen. Een proces wordt immers ondersteund door die middelen. Zonder die middelen geen proces, toch?

Op basis van wat we als kritisch zien voor het voortbestaan van de organisatie kunnen we prioriteiten stellen. Maar dat niet alleen, nee we kunnen ook kijken naar die processen (en ondersteunende middelen) waar we continuïteitsplannen en uitwijkmogelijkheden voor nodig hebben. Begrijp me niet verkeerd want een uitwijkmogelijkheid is daarbij, in mijn ogen, meer dan een uitwijklocatie met ICT voorzieningen. Uitwijk moet er voor zorgen dat het gehele proces doorgaat, niet alleen de systemen.

Bij het bepalen van hoe kritisch we een proces ervaren kunnen we bijvoorbeeld kijken naar de tijd waarna we dat proces echt gaan missen of voelen (in onze portemonnaie). Hoeveel omzet lopen we mis als een proces uit de lucht gaat? Hoeveel imagoschade levert ons dat op? En hoeveel kosten zullen we moeten maken om weer zo snel mogelijk in de lucht te zijn?

Als onze hele uitwijkoperatie € 100.000,- kost na een incident en we lopen in die periode “slechts” € 10.000,- mis, dan moeten we ons toch nog eens achter de oren krabben en kijken of we niet een bedrijfseconomisch betere oplossing kunnen bedenken.

We hebben nu weer het een en ander in perspectief geplaatst en gezien dat de maatregel niet meer mag kosten dan het probleem (tenzij we risicomijdend zijn natuurlijk, maar goed dat is weer een ander verhaal). Nog twee vragen en we hebben we belangrijkste aspecten inzichtelijk, nog even volhouden dus want morgen gaan we naar vraag 9.

Nogmaals, voor diegene onder jullie die echt niet 10 dagen willen wachten, je kunt de quickscan zelf ook al doorlopen door hier te klikken of door me snel uit te nodigen voor die bak koffie.

Grootste bedreigingen en restrisico’s

  door

In stap 5 hebben we het risicomanagement framework opgetuigd en ingezet. Nu zijn we aanbeland bij de vraag waar we nog wat nader ingaan op de grootste bedreigingen en de restrisico’s. Daarmee kunnen we vraag 7 beantwoorden.

De zevende vraag die we moeten stellen is:
Is inzichtelijk welke risico’s de continuïteit van de organisatie kunnen bedreigen en zijn er eventueel restrisico’s door het topmanagement geaccepteerd?

En het antwoord? Ja, nee of weten we het eigenlijk niet?

Het lijkt misschien logisch dat we zoveel mogelijk risico’s af willen dekken omdat dat ons nu eenmaal een lekkerder gevoel geeft, een gevoel van schijnveiligheid overigens in veel gevallen. Toch moeten we kijken naar het risicogedrag van de onderneming. Zijn we nu juist meer risicomijdend, risicodragend of toch risiconeutraal? Dat leiden we af uit de totale strategie van de organisatie en laten dat bekrachtigen door het hoogste management. We moeten daarbij overigens niet vergeten dat per business unit of per proces een andere risicostrategie gehanteerd kan worden.

Processen die bijvoorbeeld helemaal niet zo belangrijk zijn voor de organisatie kunnen een heel andere risicostrategie vereisen dan processen die bedrijfskritisch zijn. Zijn we er eenmaal uit welke risicostrategie het best past voor onze risicoanalyse dan kunnen we de beheersingsmaatregelen daar op aanpassen. De restrisico’s laten we dan bekrachtigden door het juiste managementniveau, die kan daar immers over besluiten. Wij, als beveiligingsadviseur, manager of weet ik veel hoe we ons noemen, kunnen dat niet. Nee, wij kunnen alleen maar ondersteuning verlenen en ze adviseren, maar de lijn blijft verantwoordelijk…maar goed, dat hadden we vorige week al gezien.

Risicoanalyse, risicomanagement en nu ook nog zicht op de grootste dreigingen waarbij we de restrisico’s laten accepteren op het juiste niveau. Op papier allemaal niet zo ingewikkeld, in de praktijk helaas een stuk weerbarstiger, maar we moeten de moed niet verliezen want we zijn al zover. Ver genoeg in ieder geval om naar vraag 8 te gaan.

Nogmaals, voor diegene onder jullie die echt niet 10 dagen willen wachten, je kunt de quickscan zelf ook al doorlopen door hier te klikken of door me snel uit te nodigen voor die bak koffie.

Beveiligingsbewustwordingsprogramma

  door

Na alle voorgaande stappen zijn we inmiddels al een heel stuk op weg om informatiebeveiliging serieus op de rit te krijgen. Nu wordt het toch inmiddels wel tijd om ook alle andere medewerkers te laten zien waar we nu in hemelsnaam mee bezig zijn. Dat doen we aan de hand van vraag 6.

De zesde vraag die we moeten stellen is:
Is er een beveiligingsbewustwordingsprogramma dat wordt uitgevoerd en waarvan de resultaten worden gemeten?

En het antwoord? Ja, nee of weten we het eigenlijk niet?

Vaak wordt gezegd dat de medewerkers de zwakste schakel zijn als het gaat om informatiebeveiliging. Ze willen gewoon niet luisteren, omzeilen de maatregelen, stelen de hele boel bij elkaar. Niet te vertrouwen dat personeel. Informatiebeveiliging zou een stuk eenvoudiger zijn zonder al die andere medewerkers. Natuurlijk heb je helemaal gelijk, maar we moeten niet vergeten dat informatiebeveiliging ondersteunend is aan de primaire processen van de organisatie. Helaas, voor jou, hebben we die medewerkers toch echt nodig om omzet te draaien. Zolang informatiebeveiliging niet het primaire proces is, zullen we moeten accepteren dat de medewerkers een heel ander doel hebben (wat dat doel dan ook mag zijn).

We kunnen proberen om de medewerkers nog meer te dwingen zich aan de beveiliging te houden door nog meer maatregelen te implementeren die hun functioneren onmogelijk maakt. Daarbij hoeven we dan niet op steun van die medewerkers te rekenen overigens. Pas maar op met een dergelijke aanpak, voor je het weet sta je met pek en veren op de parkeerplaats te luchten.

We zullen ons moeten richten op kennis, houding en gedrag om medewerkers bewust te maken van het waarom achter beveiliging. Een simpele poster aan de muur volstaat niet, dat draagt misschien iets bij aan de kennis (hoewel dat al twijfelachtig is), maar houding en gedrag verandert het zeker niet. We zullen de medewerkers uit moeten leggen waarom sommige zaken nu eenmaal zo zijn, als ze zijn. We moeten daarbij overigens wel blijven streven naar het zo makkelijk mogelijk maken voor die medewerker, die moet immers gewoon kunnen blijven functioneren omdat wij anders straks ook geen salaris meer zullen ontvangen. Leg het de medewerkers uit, betrek ze bij de ontwikkeling van nieuwe maatregelen, wees reëel in wat je wil bereiken en maak ze verantwoordelijk voor hun deel in de beveiliging. Niet door als politieagent door de organisatie heen te gaan, maar door te luisteren naar de behoefte van de medewerkers en de afweging te maken tussen beveiliging en bedrijfsprocessen.

Beveiligingsbewustwording, best een lastig aspect als we ook echt resultaat willen bereiken. Een stuk eenvoudiger als we volstaan met sociaal wenselijke enquêtes en posters aan de wand. We zijn daarmee aangeland bij vraag 7 die we morgen beantwoorden.

 

Risicoanalyse en risicomanagement

  door

Inmiddels beginnen we al aardig draagvlak te krijgen voor onze activiteiten, zowel het management begrijpt dat het niet gaat om al die vervelende maatregelen maar om het afdekken van risico’s. De auditafdeling is op onze hand en de banden met de concurrent hebben we ook aangehaald. Misschien gek dat we de vijfde vraag nu pas gaan beantwoorden…maar ja het zou veel gekker zijn als we de vijfde vraag als tweede vraag zouden hanteren, toch?

De vijfde vraag die we moeten stellen is:
Maakt risicoanalyse en risicomanagement standaard deel uit van de integrale beveiliging?

En het antwoord? Ja, nee of weten we het eigenlijk niet?

Het is deze week al eerder aan bod gekomen, maar het draait dus eigenlijk helemaal niet om al die afzonderlijke, dure, ingewikkelde, lastige beveiligingsmaatregelen? Nee, juist, het draait om het afdekken van de risico’s die we als organisatie lopen. Over risicomanagement kun je hele boeken vol schrijven, maar de discussie over wat het nu exact is gaan we hier voor het gemak even uit de weg. We willen immers door de bomen ook nog gewoon het bos blijven zien. Om het eenvoudig te houden onderscheiden we hier “operational risks” en “enterprise risks”.

De operationel risks zijn die risico’s waar de Security Manager zich druk over mag maken. Denk bijvoorbeeld aan risico’s als: brand, hacking, cracking, virusuitbraak, inbraak en ga zo nog maar even door. Allemaal heel spannend natuurlijk, maar dat is vaak niet wat het senior management wil horen of waar zij wakker van liggen.

Nee de directie ligt juist wakker van de enterprise risks. Die kunnen we verdelen in: omzet, kosten en imago die uiteindelijk leiden tot de winstgevendheid van de organisatie (ja, non-profit ligt iets anders, maar goed, je begrijpt de strekking). De kunst is dus om met onze operationele hoofdpijn…eh, sorry risico’s aansluiting te zoeken bij de enterprise risks. Lukt dat, dan is de kans groot dat de directie ons nog serieus gaat nemen ook…of met andere woorden: onze echte meerwaarde gaat inzien.

Omdat we de blogs kort willen houden gaat het hier echt te ver om de hele risicomanagementmethodieken te beschrijven. Maar een belangrijk punt wil ik jullie toch niet onthouden. Naast operational en enterprise risk moeten we ook nog een keuze maken in een kwantitatieve of kwalitatieve aanpak…waarbij de laatste mijn voorkeur heeft omdat statistieken op informatiebeveiligingsgebied nog vaak ontbreken.

In een kort stuk tekst zijn we met een sneltreinvaart over risicoanalyse en risicomanagement heen gevlogen. Eigenlijk is dat onmogelijk en doen we het gebied te kort, maar goed we kunnen voor nu even niet anders.. Wel zijn we daarmee weer een stap verder en gaan we op weg naar vraag 6. Maar uiteraard niet voordat we, puur vanuit vaderlands liefde, Koninginnedag hebben gevierd.

Nogmaals, voor diegene onder jullie die echt niet 10 dagen willen wachten, je kunt de quickscan zelf ook al doorlopen door hier te klikken of door me snel uit te nodigen voor die bak koffie.

Normen, best practices en richtlijnen

  door

Gisteren hebben we vriendschap gesloten met onze auditafdeling. Eigenlijk zijn het helemaal niet van die nare (of rare) mensen, toch? Nee, eigenlijk hebben zij ook wel het beste voor met de organisatie. Aan deze vernieuwde samenwerking gaan we nog veel plezier beleven. Maar we nemen uiteraard wel onze eigen verantwoordelijkheid en proberen de informatiebeveiliging eerst zo goed mogelijk zelf in te richten. Daarmee zijn we aangekomen bij vraag 4.

De vierde vraag die we moeten stellen is:
Is bij de inrichting van de integrale beveiliging gebruik gemaakt van normen, best practices en richtlijnen uit de branche?

En het antwoord? Ja, nee of weten we het eigenlijk niet?

Inmiddels weten we dat we informatiebeveiliging serieus moeten nemen, maar waar moeten we beginnen? Geen nood, er zijn genoeg hulpmiddelen beschikbaar om de eerste paar stappen goed te zetten. Maar, voordat je je verstapt, wil ik je er nog wel even op wijzen dat het niet zozeer gaat om de beveiligingsmaatregel maar juist om het afdekken van een risico. Houden we dat voor ogen dan gaan we niet domweg allerlei standaard normenkaders implementeren (die een overkill aan maatregelen veroorzaken).

Nee, uitgaande van de risico’s, die per organisatie, per business unit, per locatie, per proces, per land, per gebouw en ga zo nog maar even door kunnen verschillen. Nu kunnen we allerlei normen, best practices en richtlijnen gebruiken om de meest effectieve en efficiënte wijze van beveiligen te bepalen.

De bekendste norm is waarschijnlijk de Code voor Informatiebeveiliging (ISO27001/27002 of voor de gezondheidszorg: NEN7510). Een uitstekende basis, zou ik zo zeggen, maar er is meer. Google er eens lustig op los en je zult zien dat er al veel, heel veel, geschreven is over informatiebeveiliging. Kijk bijvoorbeeld ook eens wat er beschikbaar is vanuit National Institute of Standards and Technology (NIST) en Federal Information Processing Standards (FIPS). Wat houd je tegen om dat her te gebruiken? Is het niet beter goed gejat dan slecht verzonnen?

Verder zijn er vast ook nog wel richtlijnen uit de branche die we kunnen hergebruiken. Beveiliging heeft misschien vele nadelen, maar een groot voordeel is er ook. Veel organisaties zien het (nog) niet als onderscheidend vermogen ten opzichte van de concurrentie. Benchmarken in de branch is daarom vaak niet zo’n probleem. Waar je normaliter zwaar concurreert kan het zomaar zo zijn dat de Security Manager van je concurrent graag met je samen werkt. Waarom? Nou, simpelweg omdat hij of zij met dezelfde problemen in de maag zit.

Zo, de concurrentie is ook geen probleem meer en we weten nu dat we via internet en allerlei beschikbare normeringen al een aardig stuk op weg zijn. Nu moeten we er alleen nog voor oppassen dat we het vakgebied straks niet echt leuk gaan vinden want dan is het hek van de dam. Maar goed, we zijn weer een stap verder en kunnen met een gerust hart op weg naar vraag 5.

Nogmaals, voor diegene onder jullie die echt niet 10 dagen willen wachten, je kunt de quickscan zelf ook al doorlopen door hier te klikken of door me snel uit te nodigen voor die bak koffie.