Categorie: Geen categorie

Begrip van beveiligingseisen en risicomanagement

  door

De afgelopen 2 weken zijn we door de quickscan voor informatiebeveiliging heen gelopen. Met deze scan kan snel bepaald worden of er aandacht voor informatiebeveiliging en risicomanagement nodig is. Maar ja, een quickscan is maar een vluchtig overzicht, er is immers nog zoveel meer over te schrijven. Maar niet gevreesd, daar gaan we de komende tijd op in. We zullen ingaan op de vragen die we doornemen als we een volwaardige volwassenheidscan willen doorlopen. Soms liggen de vragen misschien wat dicht tegen de quickscan aan, maar dat is logisch want de uitgebreidere scan (het woord zegt het al) is dus een uitgebreidere versie van de quickscan.

Maar genoeg inleiding voor nu. De eerste vraag uit de volledige scan gaat in op beveiligingsbeleid en de doelstellingen. Omdat we die twee weken geleden al hebben behandeld, slaan we die voor nu even over en gaan direct door met de vraag:

Is er een goed begrip binnen de organisatie van beveiligingseisen en risicomanagement?

Beveiliging is geen doel op zich, daar zijn we inmiddels wel genoeg op ingegaan, maar we herhalen het toch nog maar even. Nee, beveiliging is een middel dat bij moet dragen aan de continuïteit van de primaire en secundaire bedrijfsprocessen van de organisatie. Of in gewoon Nederlands: het moet zo min mogelijk geld kosten en er, als het even kan, ook nog voor zorgen dat we er juist meer omzet door kunnen draaien.

Een goed begrip van beveiliging, beveiligingseisen en risicomanagement is daarom nodig binnen alle lagen van de organisatie om in te kunnen schatten welke operationele risico’s de organisatie kunnen raken, hoe erg dat dan is en welke beheersingsmaatregelen daarvoor eventueel getroffen kunnen worden. Het middel mag nooit erger zijn dan de kwaal, dus we moeten voorzichtig zijn en goede afwegingen maken.

Met betrekking tot operationele risico’s kunnen we op basis van een kosten/baten analyse simpel de volgende strategieën onderkennen:
• De risico’s accepteren;
• De risico’s mitigeren;
• De risico’s (of de gevolgen daarvan) overdragen aan een derde.

Welke risico’s we onacceptabel vinden verschilt per organisatie, per proces, per informatiesysteem en eventueel per gebouw. Zo kunnen we bijvoorbeeld voor ons hoofdkantoor bepalen dat we sommige risico’s niet wensen te lopen, terwijl we dat voor een bijkantoor misschien wel doen.

Het ontbreken van een goed begrip met betrekking tot beveiliging, beveiligingseisen en risicomanagement draagt het risico met zich mee dat er teveel, te weinig of de verkeerde activiteiten ontplooit worden op het gebied van beveiliging. Teveel beveiligen betekent dat er teveel kosten gemoeid zijn met de aanpak en dat het dagelijkse werk voor de medewerkers bemoeilijkt wordt. Te weinig of de verkeerde activiteiten zorgen voor schijnveiligheid en het in stand houden van onacceptabele risico’s. Een incident als gevolg van de verkeerde aanpak van beveiliging kan hoge kosten met zich meebrengen of kan voor (definitieve) discontinuïteit van de organisatie zorgen.

Daarbij moeten we niet alleen kijken naar de directe kosten die gemoeid zijn met het incident, maar juist ook met de gevolgschade (want die heeft veelal de grootste impact). Neem nu een brand: de organisatie ondervindt erg veel last van die brand maar gelukkig hebben we ons gebouw goed verzekerd. Tot zover niets aan de hand, maar gaan onze klanten een jaar op ons wachten totdat we weer kunnen leveren? Lopen de kosten (bijv. van ons personeel) in dat jaar niet gewoon door? Zijn we niet straks echt alle klanten kwijt aan onze concurrent? Dat zijn de gevolgen waar we echt wakker van moeten liggen en die meestal niet verzekerd zijn. We hebben dan ons gebouw wel terug, maar geen klanten meer (en dat zorgt uiteindelijk voor de discontinuïteit).

Maar wat is nu een goed begrip dan? Een goed begrip betekent dat we inzien dat het eigenlijk helemaal niet om die dure, afzonderlijke, technische, ingewikkelde maatregelen en incidenten gaat maar juist om een goede aansluiting bij de rest van de strategie van de organisatie en de mogelijke echte gevolgschade na een incident. Daarvoor is dan bijvoorbeeld weer een goed (en goedgekeurd) beveiligingsbeleid en een ingerichte beveiligingsorganisatie nodig.

Meer weten? Ik hoor natuurlijk graag van je.

Steun en betrokkenheid van het management

  door

Gefeliciteerd, je hebt het einde van de quickscan gehaald…tenzij je natuurlijk je geduld niet op de proef wilde stellen en direct na de eerste stap de quicskscan op de site hebt ingevuld. Dan zal het je ook niet verbazen wat deze tiende en laatste vraag is. Het mag dan wel de (voorlopig) laatste vraag zijn, toch is het niet de minst belangrijke. Laten we er niet verder omheen draaien en aan de slag gaan.

De tiende vraag die we moeten stellen is:
Is er zichtbare steun en betrokkenheid van het (top)management voor integrale beveiliging en geeft het management het goede voorbeeld?

En het antwoord? Ja, nee of weten we het eigenlijk niet?

Als je, als verantwoordelijke voor de informatiebeveiliging, door het (top)management geconfronteerd wordt met de uitspraak: “prima beveiligingsmaatregelen, maar ze gelden natuurlijk niet voor mij.” Dan heb je een serieus probleem te pakken. Je zult de informatiebeveiliging dan ook nooit goed van de grond krijgen en loopt zelfs het risico dat je er door de frustratie aan onder door gaat.

Maar als je de tien stappen uit deze quickscan volledig doorlopen hebt en je het management mee hebt genomen in je zoektocht dan zou er toch al een vorm van steun en betrokkenheid moeten zijn ontstaan. Als je dus bij deze stap bent aangekomen en die steun is er nog niet dan moeten we teruggrijpen op de eerdere vragen. Daar zullen we de tien stappen dan ook maar mee afsluiten, vind je niet?

  1. Heb je het beveiligingsbeleid wel laten bekrachtigen door het (top)management en sluiten de doelstellingen van beveiliging wel aan bij de organisatiedoelstellingen?
  2. Is het (top)management ook beschreven in de organisatiebeschrijving en zijn aan hen ook taken, bevoegdheden en verantwoordelijkheden toegewezen?
  3. Worden de genomen beveiligingsmaatregelen wel periodiek en onafhankelijk beoordeeld en komen deze auditrapportages wel bij het (top)management aan?
  4. Heb je gebruik gemaakt van normen, best practices en richtlijnen uit de branch die logisch in elkaar zitten en goed aansluiten bij de beeldvorming van het (top)management?
  5. Is het risicomanagement framework goed opgezet en heeft het (top)management dat geaccordeerd?
  6. Heb je het beveiligingsbewustwordingsprogramma niet alleen gericht op de medewerkers maar heb je ook een speciaal programma voor het (top)management waarbij ze risicobewust gemaakt worden?
  7. Is inzichtelijk gemaakt welke risico’s de continuïteit van de organisatie kunnen bedreigen en heeft het (top)management de restrisico’s formeel geaccepteerd?
  8. Is er een overzicht opgesteld van kritische bedrijfsprocessen en gegevens en is het (top)management het wel met dit overzicht eens?
  9. Is het (top)management zich wel bewust van de mogelijke gevolgen van het niet voldoen aan wet- en regelgeving?

Heb je na de 10 stappen en na de 9 controlevragen nog steeds geen steun van het management? Dan is het wellicht de moeite waard om je positie binnen de organisatie nog eens tegen het licht aan te houden. Als er echt geen behoefte is, waarom is je functie er dan? Waarom zouden ze er dan wat aan doen? Maar, eerlijk is eerlijk, als we het op de juiste wijze aanpakken en reëel blijven dan is er geen (top)manager die willens en wetens niets aan informatiebeveiliging doet. Heb jij toevallig die ene manager die dat wel doet getroffen? Maak je geen zorgen, binnenkort staat hij in de krant en voor het groene bankje.

Zo zijn we aan het eind gekomen van een 10daagse reis, hopelijk kun je de inspanning waarderen en kun je een of meer van de stappen in de dagelijkse praktijk goed gebruiken. Uiteraard ben ik reuze benieuwd naar je reactie op de tien stappen en hoor ik graag van je.

Oh ja, voor de laatste keer en voor het geval je de eerdere stappen toch liever overzichtlijk bij elkaar hebt, je kunt de quickscan nog steeds zelf doorlopen door hier te klikken of door me snel uit te nodigen voor die bak koffie. Uiteraard is deze scan ook beschikbaar voor mensen die mijn blog de afgelopen 10 dagen niet gevolgd hebben.

Wet- en regelgeving

  door

Eerder deze week hebben we al gekeken naar de normen, best practices en richtlijnen uit de branche. Daarmee dekken we al een behoorlijk stuk van de beveiliging af. Toch moeten we ook de wet- en regelgeving in dit geval niet vergeten. Daarom gaan we daar vandaag kort op in.

De negende vraag die we moeten stellen is:
Is de wet- en regelgeving waaraan de organisatie moet voldoen inzichtelijk en kan aantoonbaar worden gemaakt dat hieraan wordt voldaan?

En het antwoord? Ja, nee of weten we het eigenlijk niet?

Wees gerust, hier komt geen heel verhaal met allerlei droge tekst en verwijzingen naar artikelen in de wetboeken. Waarom niet? Nou eigenlijk omdat er niet zo gek veel wet- en regelgeving is op het gebied van informatiebeveiliging. Vanuit de Wet Bescherming Persoonsgegevens moeten we het een en ander regelen en daarnaast bestaat er nog zoiets als de Wet op de Computercriminaliteit. Maar goed, als we al serieus bezig zijn met informatiebeveiliging dan voldoen we al aan grote delen van die wetgeving.

Daarnaast kan er vanuit de branche of EU nog aanvullende regelgeving zijn, maar die is dan specifiek voor dat soort organisaties. Zo zullen de banken net iets meer moeten doen dan de bakker op de hoek en gelden er weer andere eisen voor die kerncentrale. De organisaties waar aanvullende regelgeving voor geldt zijn vaak meer gereguleerd en staan onder controle.

Maar, vraag je je misschien af, is er dan niet zoiets als de ARBO-wet voor informatiebeveiliging? Nou, nee, die is er niet. Natuurlijk kunnen we teruggrijpen op allerlei algemene wetgeving die ons verplichtingen oplegt, maar daar moest je toch al aan voldoen, ook zonder informatiebeveiliging.

Met een gezond boerenverstand, algemene normenkaders en best practices zijn wel al een heel stuk op weg. Misschien wil je nog specifiek aandacht besteden aan de Wet Bescherming Persoonsgegevens, maar ook daarvoor zijn er zelfevaluaties beschikbaar.

Wet- en regelgeving kan een droog vakgebied zijn (althans, dat is wat ik nog wel eens hoor). Een geluk bij een ongeluk, maar voor informatiebeveiliging is er niet heel veel specifieke wetgeving beschikbaar. Maar wat niet is kan zeker nog komen, je zult dus wel goed op de hoogte moeten blijven want het kan zomaar veranderen. Maar, als je toch al serieus met het vakgebied bezig bent, dan zul je door die wetgeving niet heel snel worden ingehaald. Wow, we zijn er bijna. Nog een vraag en we hebben alle tien de vragen beantwoord. Op naar vraag 10 dan maar.

Nogmaals, voor diegene onder jullie die echt niet 10 dagen willen wachten, je kunt de quickscan zelf ook al doorlopen door hier te klikken of door me snel uit te nodigen voor die bak koffie.

Kritische bedrijfsprocessen en gegevens

  door

Gisteren hebben we al gezien dat we onze risicostrategie aan moeten passen aan hoe kritisch het bedrijfsproces is of de gegevens zijn. Leuk gezegd, maar wat zijn dan die kritische processen en gegevens? Ho, ho, niet zo snel, dat is nu juist de vraag waar we vandaag naar kijken.

De achtste vraag die we moeten stellen is:
Zijn de kritische bedrijfsprocessen en gegevens inzichtelijk en zijn er continuïteitsplannen en uitwijkmogelijkheden voor deze processen?

En het antwoord? Ja, nee of weten we het eigenlijk niet?

We moeten dus gaan kijken en onderzoeken van welke bedrijfsprocessen de organisatie echt afhankelijk is. We kunnen daarvoor het bedrijfsprocessen model van de organisatie gebruiken (voor zover die er is) maar we moeten ook zeker niet vergeten dat er veel processen zijn die niet duidelijk gedefinieerd zijn maar waar we wel heel erg van afhankelijk zijn.

Ik wil hier niet belanden in een discussie over wat nu exact de definitie is van een proces maar neem nu email eens als voorbeeld. In de feitelijke vorm niet echt een proces, maar wel een middel waar we erg van afhankelijk zijn geworden. Daarmee kunnen we direct de conclusie trekken dat we wel zicht moeten hebben op de kritische processen, maar dat we een proces op zich niet echt goed kunnen beveiligen.

Nee, we moeten de risico’s voor zo’n proces bepalen, maar we moeten uiteindelijk maatregelen nemen om de geautomatiseerde en de niet geautomatiseerde data, de assets en de mensen te beveiligen. Een proces wordt immers ondersteund door die middelen. Zonder die middelen geen proces, toch?

Op basis van wat we als kritisch zien voor het voortbestaan van de organisatie kunnen we prioriteiten stellen. Maar dat niet alleen, nee we kunnen ook kijken naar die processen (en ondersteunende middelen) waar we continuïteitsplannen en uitwijkmogelijkheden voor nodig hebben. Begrijp me niet verkeerd want een uitwijkmogelijkheid is daarbij, in mijn ogen, meer dan een uitwijklocatie met ICT voorzieningen. Uitwijk moet er voor zorgen dat het gehele proces doorgaat, niet alleen de systemen.

Bij het bepalen van hoe kritisch we een proces ervaren kunnen we bijvoorbeeld kijken naar de tijd waarna we dat proces echt gaan missen of voelen (in onze portemonnaie). Hoeveel omzet lopen we mis als een proces uit de lucht gaat? Hoeveel imagoschade levert ons dat op? En hoeveel kosten zullen we moeten maken om weer zo snel mogelijk in de lucht te zijn?

Als onze hele uitwijkoperatie € 100.000,- kost na een incident en we lopen in die periode “slechts” € 10.000,- mis, dan moeten we ons toch nog eens achter de oren krabben en kijken of we niet een bedrijfseconomisch betere oplossing kunnen bedenken.

We hebben nu weer het een en ander in perspectief geplaatst en gezien dat de maatregel niet meer mag kosten dan het probleem (tenzij we risicomijdend zijn natuurlijk, maar goed dat is weer een ander verhaal). Nog twee vragen en we hebben we belangrijkste aspecten inzichtelijk, nog even volhouden dus want morgen gaan we naar vraag 9.

Nogmaals, voor diegene onder jullie die echt niet 10 dagen willen wachten, je kunt de quickscan zelf ook al doorlopen door hier te klikken of door me snel uit te nodigen voor die bak koffie.

Grootste bedreigingen en restrisico’s

  door

In stap 5 hebben we het risicomanagement framework opgetuigd en ingezet. Nu zijn we aanbeland bij de vraag waar we nog wat nader ingaan op de grootste bedreigingen en de restrisico’s. Daarmee kunnen we vraag 7 beantwoorden.

De zevende vraag die we moeten stellen is:
Is inzichtelijk welke risico’s de continuïteit van de organisatie kunnen bedreigen en zijn er eventueel restrisico’s door het topmanagement geaccepteerd?

En het antwoord? Ja, nee of weten we het eigenlijk niet?

Het lijkt misschien logisch dat we zoveel mogelijk risico’s af willen dekken omdat dat ons nu eenmaal een lekkerder gevoel geeft, een gevoel van schijnveiligheid overigens in veel gevallen. Toch moeten we kijken naar het risicogedrag van de onderneming. Zijn we nu juist meer risicomijdend, risicodragend of toch risiconeutraal? Dat leiden we af uit de totale strategie van de organisatie en laten dat bekrachtigen door het hoogste management. We moeten daarbij overigens niet vergeten dat per business unit of per proces een andere risicostrategie gehanteerd kan worden.

Processen die bijvoorbeeld helemaal niet zo belangrijk zijn voor de organisatie kunnen een heel andere risicostrategie vereisen dan processen die bedrijfskritisch zijn. Zijn we er eenmaal uit welke risicostrategie het best past voor onze risicoanalyse dan kunnen we de beheersingsmaatregelen daar op aanpassen. De restrisico’s laten we dan bekrachtigden door het juiste managementniveau, die kan daar immers over besluiten. Wij, als beveiligingsadviseur, manager of weet ik veel hoe we ons noemen, kunnen dat niet. Nee, wij kunnen alleen maar ondersteuning verlenen en ze adviseren, maar de lijn blijft verantwoordelijk…maar goed, dat hadden we vorige week al gezien.

Risicoanalyse, risicomanagement en nu ook nog zicht op de grootste dreigingen waarbij we de restrisico’s laten accepteren op het juiste niveau. Op papier allemaal niet zo ingewikkeld, in de praktijk helaas een stuk weerbarstiger, maar we moeten de moed niet verliezen want we zijn al zover. Ver genoeg in ieder geval om naar vraag 8 te gaan.

Nogmaals, voor diegene onder jullie die echt niet 10 dagen willen wachten, je kunt de quickscan zelf ook al doorlopen door hier te klikken of door me snel uit te nodigen voor die bak koffie.

Beveiligingsbewustwordingsprogramma

  door

Na alle voorgaande stappen zijn we inmiddels al een heel stuk op weg om informatiebeveiliging serieus op de rit te krijgen. Nu wordt het toch inmiddels wel tijd om ook alle andere medewerkers te laten zien waar we nu in hemelsnaam mee bezig zijn. Dat doen we aan de hand van vraag 6.

De zesde vraag die we moeten stellen is:
Is er een beveiligingsbewustwordingsprogramma dat wordt uitgevoerd en waarvan de resultaten worden gemeten?

En het antwoord? Ja, nee of weten we het eigenlijk niet?

Vaak wordt gezegd dat de medewerkers de zwakste schakel zijn als het gaat om informatiebeveiliging. Ze willen gewoon niet luisteren, omzeilen de maatregelen, stelen de hele boel bij elkaar. Niet te vertrouwen dat personeel. Informatiebeveiliging zou een stuk eenvoudiger zijn zonder al die andere medewerkers. Natuurlijk heb je helemaal gelijk, maar we moeten niet vergeten dat informatiebeveiliging ondersteunend is aan de primaire processen van de organisatie. Helaas, voor jou, hebben we die medewerkers toch echt nodig om omzet te draaien. Zolang informatiebeveiliging niet het primaire proces is, zullen we moeten accepteren dat de medewerkers een heel ander doel hebben (wat dat doel dan ook mag zijn).

We kunnen proberen om de medewerkers nog meer te dwingen zich aan de beveiliging te houden door nog meer maatregelen te implementeren die hun functioneren onmogelijk maakt. Daarbij hoeven we dan niet op steun van die medewerkers te rekenen overigens. Pas maar op met een dergelijke aanpak, voor je het weet sta je met pek en veren op de parkeerplaats te luchten.

We zullen ons moeten richten op kennis, houding en gedrag om medewerkers bewust te maken van het waarom achter beveiliging. Een simpele poster aan de muur volstaat niet, dat draagt misschien iets bij aan de kennis (hoewel dat al twijfelachtig is), maar houding en gedrag verandert het zeker niet. We zullen de medewerkers uit moeten leggen waarom sommige zaken nu eenmaal zo zijn, als ze zijn. We moeten daarbij overigens wel blijven streven naar het zo makkelijk mogelijk maken voor die medewerker, die moet immers gewoon kunnen blijven functioneren omdat wij anders straks ook geen salaris meer zullen ontvangen. Leg het de medewerkers uit, betrek ze bij de ontwikkeling van nieuwe maatregelen, wees reëel in wat je wil bereiken en maak ze verantwoordelijk voor hun deel in de beveiliging. Niet door als politieagent door de organisatie heen te gaan, maar door te luisteren naar de behoefte van de medewerkers en de afweging te maken tussen beveiliging en bedrijfsprocessen.

Beveiligingsbewustwording, best een lastig aspect als we ook echt resultaat willen bereiken. Een stuk eenvoudiger als we volstaan met sociaal wenselijke enquêtes en posters aan de wand. We zijn daarmee aangeland bij vraag 7 die we morgen beantwoorden.

 

Risicoanalyse en risicomanagement

  door

Inmiddels beginnen we al aardig draagvlak te krijgen voor onze activiteiten, zowel het management begrijpt dat het niet gaat om al die vervelende maatregelen maar om het afdekken van risico’s. De auditafdeling is op onze hand en de banden met de concurrent hebben we ook aangehaald. Misschien gek dat we de vijfde vraag nu pas gaan beantwoorden…maar ja het zou veel gekker zijn als we de vijfde vraag als tweede vraag zouden hanteren, toch?

De vijfde vraag die we moeten stellen is:
Maakt risicoanalyse en risicomanagement standaard deel uit van de integrale beveiliging?

En het antwoord? Ja, nee of weten we het eigenlijk niet?

Het is deze week al eerder aan bod gekomen, maar het draait dus eigenlijk helemaal niet om al die afzonderlijke, dure, ingewikkelde, lastige beveiligingsmaatregelen? Nee, juist, het draait om het afdekken van de risico’s die we als organisatie lopen. Over risicomanagement kun je hele boeken vol schrijven, maar de discussie over wat het nu exact is gaan we hier voor het gemak even uit de weg. We willen immers door de bomen ook nog gewoon het bos blijven zien. Om het eenvoudig te houden onderscheiden we hier “operational risks” en “enterprise risks”.

De operationel risks zijn die risico’s waar de Security Manager zich druk over mag maken. Denk bijvoorbeeld aan risico’s als: brand, hacking, cracking, virusuitbraak, inbraak en ga zo nog maar even door. Allemaal heel spannend natuurlijk, maar dat is vaak niet wat het senior management wil horen of waar zij wakker van liggen.

Nee de directie ligt juist wakker van de enterprise risks. Die kunnen we verdelen in: omzet, kosten en imago die uiteindelijk leiden tot de winstgevendheid van de organisatie (ja, non-profit ligt iets anders, maar goed, je begrijpt de strekking). De kunst is dus om met onze operationele hoofdpijn…eh, sorry risico’s aansluiting te zoeken bij de enterprise risks. Lukt dat, dan is de kans groot dat de directie ons nog serieus gaat nemen ook…of met andere woorden: onze echte meerwaarde gaat inzien.

Omdat we de blogs kort willen houden gaat het hier echt te ver om de hele risicomanagementmethodieken te beschrijven. Maar een belangrijk punt wil ik jullie toch niet onthouden. Naast operational en enterprise risk moeten we ook nog een keuze maken in een kwantitatieve of kwalitatieve aanpak…waarbij de laatste mijn voorkeur heeft omdat statistieken op informatiebeveiligingsgebied nog vaak ontbreken.

In een kort stuk tekst zijn we met een sneltreinvaart over risicoanalyse en risicomanagement heen gevlogen. Eigenlijk is dat onmogelijk en doen we het gebied te kort, maar goed we kunnen voor nu even niet anders.. Wel zijn we daarmee weer een stap verder en gaan we op weg naar vraag 6. Maar uiteraard niet voordat we, puur vanuit vaderlands liefde, Koninginnedag hebben gevierd.

Nogmaals, voor diegene onder jullie die echt niet 10 dagen willen wachten, je kunt de quickscan zelf ook al doorlopen door hier te klikken of door me snel uit te nodigen voor die bak koffie.

Normen, best practices en richtlijnen

  door

Gisteren hebben we vriendschap gesloten met onze auditafdeling. Eigenlijk zijn het helemaal niet van die nare (of rare) mensen, toch? Nee, eigenlijk hebben zij ook wel het beste voor met de organisatie. Aan deze vernieuwde samenwerking gaan we nog veel plezier beleven. Maar we nemen uiteraard wel onze eigen verantwoordelijkheid en proberen de informatiebeveiliging eerst zo goed mogelijk zelf in te richten. Daarmee zijn we aangekomen bij vraag 4.

De vierde vraag die we moeten stellen is:
Is bij de inrichting van de integrale beveiliging gebruik gemaakt van normen, best practices en richtlijnen uit de branche?

En het antwoord? Ja, nee of weten we het eigenlijk niet?

Inmiddels weten we dat we informatiebeveiliging serieus moeten nemen, maar waar moeten we beginnen? Geen nood, er zijn genoeg hulpmiddelen beschikbaar om de eerste paar stappen goed te zetten. Maar, voordat je je verstapt, wil ik je er nog wel even op wijzen dat het niet zozeer gaat om de beveiligingsmaatregel maar juist om het afdekken van een risico. Houden we dat voor ogen dan gaan we niet domweg allerlei standaard normenkaders implementeren (die een overkill aan maatregelen veroorzaken).

Nee, uitgaande van de risico’s, die per organisatie, per business unit, per locatie, per proces, per land, per gebouw en ga zo nog maar even door kunnen verschillen. Nu kunnen we allerlei normen, best practices en richtlijnen gebruiken om de meest effectieve en efficiënte wijze van beveiligen te bepalen.

De bekendste norm is waarschijnlijk de Code voor Informatiebeveiliging (ISO27001/27002 of voor de gezondheidszorg: NEN7510). Een uitstekende basis, zou ik zo zeggen, maar er is meer. Google er eens lustig op los en je zult zien dat er al veel, heel veel, geschreven is over informatiebeveiliging. Kijk bijvoorbeeld ook eens wat er beschikbaar is vanuit National Institute of Standards and Technology (NIST) en Federal Information Processing Standards (FIPS). Wat houd je tegen om dat her te gebruiken? Is het niet beter goed gejat dan slecht verzonnen?

Verder zijn er vast ook nog wel richtlijnen uit de branche die we kunnen hergebruiken. Beveiliging heeft misschien vele nadelen, maar een groot voordeel is er ook. Veel organisaties zien het (nog) niet als onderscheidend vermogen ten opzichte van de concurrentie. Benchmarken in de branch is daarom vaak niet zo’n probleem. Waar je normaliter zwaar concurreert kan het zomaar zo zijn dat de Security Manager van je concurrent graag met je samen werkt. Waarom? Nou, simpelweg omdat hij of zij met dezelfde problemen in de maag zit.

Zo, de concurrentie is ook geen probleem meer en we weten nu dat we via internet en allerlei beschikbare normeringen al een aardig stuk op weg zijn. Nu moeten we er alleen nog voor oppassen dat we het vakgebied straks niet echt leuk gaan vinden want dan is het hek van de dam. Maar goed, we zijn weer een stap verder en kunnen met een gerust hart op weg naar vraag 5.

Nogmaals, voor diegene onder jullie die echt niet 10 dagen willen wachten, je kunt de quickscan zelf ook al doorlopen door hier te klikken of door me snel uit te nodigen voor die bak koffie.

Periodieke en onafhankelijke toetsing

  door

Inmiddels hebben we de beveiligingsorganisatie beschreven en weet iedereen wat zijn taken, bevoegdheden en verantwoordelijkheden zijn, toch? Dat is allemaal leuk en aardig, maar hoe weten we nu of het ook echt werkt? Vandaag gaan we verder in op de toetsing van de beveiligingsmaatregelen. We zijn daarmee aangekomen bij vraag 3.

De derde vraag die we moeten stellen is:
Worden de genomen beveiligingsmaatregelen periodiek door een onafhankelijke organisatie doorgelicht?

En het antwoord? Ja, nee of weten we het eigenlijk niet?

Het lijkt hier misschien of het gaat om de toetsing van de beveiligingsmaatregelen die we genomen hebben. Kijk, de firewall doet het want het rode lampje knippert. Maar daar gaat het in eerste instantie helemaal niet om. Nee, in eerste instantie willen we weten of de risico’s voldoende zijn afgedekt. Of, anders gezegd: of we wel de juiste set aan beveiligingsmaatregelen hebben genomen waarbij de risico’s altijd leidend zijn (theorie) of zouden moeten zijn (praktijk).

Enerzijds gaat het er dus om of we de juiste set aan beveiligingsmaatregelen hebben genomen, maar anderzijds willen we er ook zeker van zijn dat deze maatregelen ook echt werken. Leuk hoor, die firewall en ik zie inderdaad dat hij 230volt krijgt want het lampje knippert inderdaad, maar wat doet hij nu echt? Welk verkeer houdt hij nu werkelijk tegen en is dat verkeer dat naar binnen of juist naar buiten wil?

Bij het toetsen van de maatregelen (of noemt het auditen, het maakt mij niet zoveel uit, ik begrijp je toch wel) moeten we niet alleen kijken naar de bekende termen als: opzet, bestaan en werking, maar moeten we juist ook nadenken of we de risico’s wel echt afdekken.

Te vaak zien we nog dat binnen organisaties het auditinstrument misbruikt wordt. Oh nee, we hebben een aanbeveling of rode kaart aan de broek. Snel oplossen die handel anders komt mijn bonus in gevaar. Daarbij vergeten we nog wel eens dat de auditor met zijn aanbeveling waarschijnlijk een doel voor ogen had (een bepaald risico afdekken). Een goede auditor gaat het er niet zozeer om dat je zijn aanbeveling exact implementeert, nee, het gaat hem er om dat het risico acceptabel wordt of op het juiste niveau geaccepteerd wordt.

Een klein praktisch tipje: zie de auditor niet als vijand met een rood potlood, nee, ga met hem of haar in overleg welk risico er afgedekt moet worden. Auditors zijn ook mensen, echt, geloof me (nou ja, de meeste dan). Wacht overigens niet tot de “expire date”, want dan ben je te laat en kun je waarschijnlijk op weinig bijstand rekenen.

Zo, vandaag een klein lichtje laten schijnen op de audits. Als we de samenwerking met de auditafdeling aan kunnen gaan dan is er een grotere kans dat we ook echt beter beveiligd zijn. We zijn dus weer een stap verder en kunnen met een gerust hart op weg naar vraag 4.

Nogmaals, voor diegene onder jullie die echt niet 10 dagen willen wachten, je kunt de quickscan zelf ook al doorlopen door hier te klikken of door me snel uit te nodigen voor die bak koffie.

Taken, bevoegdheden en verantwoordelijkheden

  door

Zoal, al een beetje bekomen van de schrik dat je straks als beleidsmedewerker wordt gezien? Vandaag gaan we verder in op de organisatie achter informatiebeveiliging. We zijn daarmee aangekomen bij vraag 2.

De tweede vraag die we moeten stellen is:
Zijn de taken en verantwoordelijkheden op het gebied van integrale beveiliging eenduidig vastgelegd?

En het antwoord? Ja, nee of weten we het eigenlijk niet?

Er is veel onduidelijkheid over wie er nu eigenlijk verantwoordelijk is voor de beveiliging en vaak is het niet eenduidig vastgelegd. Is dat een aangewezen Security Manager of leggen we het als deeltaak weg bij een IT- of Facility Manager? De keuze is helemaal afhankelijk van de soort en omvang van de organisatie.

Een kleine organisatie hoeft misschien helemaal geen dedicated Security Manager te hebben. Maar dan wordt het wel een stuk belangrijker om de taken en bevoegdheden duidelijk bij iemand neer te leggen. Het liefst bij iemand die ook weet dat hij die taken en bevoegdheden heeft. We kunnen er niet zomaar vanuit gaan dat de IT-manager (als voorbeeld) wel snapt dat het bij zijn takenpakket hoort.

De verantwoordelijkheid is alweer een heel ander verhaal. Lijnmanagers denken nog wel eens dat de Security Manager verantwoordelijk is voor de beveiliging. Ja, dat klinkt misschien logisch, maar is het niet. We kunnen er vrij kort over zijn en voor iedere organisatie geldt hetzelfde: beveiliging is een lijnverantwoordelijkheid, de Security Manager reikt je slechts de tools en ondersteuning om jouw processen te beveiligen.

Ja, zul je (als lijnmanager) zeggen, dat is lekker, maar daar ga ik me toch echt niet verantwoordelijk voor voelen. Maar denk ook nog even na over wie er nu eigenlijk verantwoordelijk is voor de kwaliteit van het proces waar jij verantwoordelijk voor bent. Ben jij dat of vind je dat de Kwaliteitsmanager dat maar moet zijn?

Nee, we zullen toch echt moeten constateren dat jij als lijnmanager het voor het zeggen hebt voor de onder jouw verantwoordelijkheid vallen de processen. Daar is beveiliging gewoon een aspect van. Nu maar hopen dat je op een prettige wijze kunt samenwerken met de Security Manager. Als dat lukt, zijn we alweer een stap verder en dus op weg naar vraag 3.

Nogmaals, voor diegene onder jullie die echt niet 10 dagen willen wachten, je kunt de quickscan zelf ook al doorlopen door hier te klikken of door me snel uit te nodigen voor die bak koffie.