Five Practical Tips for Performing Risk Assessments

Een risico assessments is een van de belangrijkste hulpmiddelen voor de beveiligingsprofessional. Wanneer ze goed uitgevoerd worden hebben ze een enorme meerwaarde voor organisaties. Maar ze kunnen ook het tegenovergestelde effect hebben als ze niet goed worden uitgevoerd. Het CISO Handboek (te vinden op www.cisohandbook.com) geeft een vijftal praktische tips bij het uitvoeren van risico assessments.

  1. Measure the Scope of the Risk Assessments That You are Currently Conducting.
  2. Use Risk Assessments to Enable Business Decisions.
  3. Make a Conscious Decision Regarding the Risk Model Employed in the Assessment.
  4. Focus on the Trending Elements of the Risk Assessment
  5. Ensure the Goal Matches the Approach of the Assessment

The State of Information Security Survey 2008

In December 2007 heeft de Information Security Media Group (bekend van www.bankinfosecurity.com en www.cuinfosecurity.com) een onderzoek uitgevoerd naar de status van informatiebeveiliging binnen financiele instellingen in de United States.

De resultaten van het onderzoek zijn dubbelzinnig. Aan de ene kant geeft 64% van de instellingen aan dat ze zichzelf goed of zelfs zeer goed in staat acht om te gaan met informatiebeveiliging risico’s. Verder meent het merendeel van de instellingen dat de clienten voldoende vertrouwen stellen in de beveiligingsmaatregelen die zijn geïmplementeerd. Aan de andere kant geeft een op de vijf instellingen aan de laatste twee jaar last te hebben gehad van een beveiligingsrisico of niet te weten of ze hier last van hebben gehad. Tweederde van de financiele instellingen heeft zijn informatiesystemen (deels) uitbesteedt aan service providers. Toch geven ze aan slechts beperkt vertrouwen te hebben in de beveiligingsmaatregelen van de service providers. Een belangrijk aandachtspunt dat door 73% van de instellingen wordt gezien is de verbetering van het beveiligingsbewustzijn van clienten.

De overige verbeterpunten die op de agenda staan voor 2008 zijn onder meer:

  • Documenteren en communiceren van Informatiebeveiligingsplannen;
  • Verbeteren van Vendor management.

De management samenvatting van het onderzoek is terug te vinden op de website van bankinfosecurity.

Defensie neemt beveiligde USB stick in gebruik

Na een aantal keer het nieuws te hebben gehaald met verloren USB sticks is het Ministerie van Defensie begonnen met het verstrekken van beveiligde USB sticks aan haar medewerkers. Deze sticks worden door het Ministerie in bruikleen aan de medewerkers gegeven zodat altijd de eigenaar van de stick achterhaald kan worden.

Mits de achterliggende techniek voldoende sterk is, wordt hiermee aan de exclusiviteitseisen die gesteld worden aan de staatsgeheime informatie tegemoet gekomen. Ook voor andere organisaties, zoals financiele instellingen, dienstverleners in de zorgsector en gemeentes, zou dit een goede maatregelen kunnen zijn om de aan hen toevertrouwde informatie beter te beschermen.

Door aanvullend de medewerkers te trainen, de juiste classificatie aan de informatie toe te kennen en het verstrekken van toegang tot die informatie op basis van need to know kan al voor een deel voorkomen worden dat informatie in de verkeerde handen terecht komt. Als dan ook nog op de juiste wijze back-ups van de informatie gemaakt worden kunnen we naast de exclusiviteitseisen ook aan de beschikbaarheidseisen voldoen.

Aanpassingen privacybeleid noodzakelijk

Het College Bescherming Persoonsgegevens (CBP) heeft op 2 april 2008 haar jaarverslag over 2007 gepubliceerd. In dit jaarverslag is aangegeven dat in 2007 over de schending van de privacy 5900 klachten bij het College zijn ingediend. Naar aanleiding van deze klachten en controles van het CBP hebben verschillende organisaties hun privacybeleid aan moeten passen.

Privacy en marketing leven vaak op gespannen voet met elkaar. Wat voor marketing een goede bron van informatie is moet vanuit privacy standpunt beschermd worden. Het is belangrijk om een goed en doordacht privacybeleid te ontwikkelen dat zo goed mogelijk wordt afgestemd op de doelstellingen van de organisatie.Het is organisaties best toegestaan klantinformatie te gebruiken en te hergebruiken, als maar voldoende duidelijk is gemaakt voor welke doeleinden de gegevens verzameld worden. Op www.mijnprivacy.nl kan meer informatie worden gevonden over de bescherming van de persoonsgegevens. Het gehele jaarverslag kan op de website van het CBP worden gedownload.