Ik kan me goed voorstellen dat je inmiddels wel een beetje genoeg hebt gekregen van al die reservekopieën, geloof me, ik vind het ook niet het leukste onderdeel. Maar zoals we steeds aangeven is een integrale beveiligingsbenadering het beste. Alles op een bepaald basis niveau waarna we weer verder kunnen kijken. Reservekopieën zijn een belangrijk en nog wel onderschat onderdeel en zonder deze reservekopieën (in welke vorm dan ook) kunnen we niet zeggen dat we echt aan informatiebeveiliging doen. Net als de registratie van de informatiesystemen, trouwens, want dat is het volgende onderwerp.
De vraag voor vandaag:
Zijn alle informatiesystemen, netwerkcomponenten en IT-middelen geregistreerd en beschreven?
Net als bij de bedrijfsprocessen moeten we ervoor zorgen dat we zicht hebben op de informatiesystemen, netwerkcomponenten en IT-middelen. We moeten ze niet alleen inzichtelijk hebben maar moeten er ook voor zorgen dat iemand zich daar verantwoordelijk voor voelt. We moeten ze registreren en beschrijven zodat we weten wat we allemaal in huis hebben.
Daarbij moet je uiteraard keuzes maken in wat je vastlegt. Willen we bijvoorbeeld de werkplekken registreren? Registeren we dan ook alle beeldschermen? En alle muizen en toetsenborden? En alle muismatjes? En alle kabels? Je kunt zo ver gaan in de registratie als je zelf wilt, maar alles vastleggen is meestal niet de meest efficiënte optie.
Ook hier geldt weer de kosten moeten wel tegen de baten opwegen. Als het registreren van een muismatje veel tijd kost (want ja, waar staat exact het registratienummer op dat muismatje?) dan kun je er wellicht beter voor kiezen om die maar niet vast te leggen. Een gek voorbeeld? Ja, misschien wel. Toch zien we in de praktijk organisaties worstelen met de definitie van een werkplek en wat daarvan dan exact moet worden vastgelegd. Op zich is die worsteling helemaal niet erg, maar in dit geval kun je vooraf beter iets langer nadenken dan dat we het straks in de database allemaal moeten vastleggen of moeten wijzigen.
We gaan er voor het gemak maar even vanuit dat we inmiddels alle kritische informatiesystemen, servers, routers en dergelijke wel inzichtelijk en vastgelegd hebben. Maar hoe gaan we om met het mobiele werken? Iedereen een laptop en smartphone en aan de slag dan maar. Juist deze administratie is van belang want we willen niet dat dergelijke zaken de organisatie verlaten als iemand ontslag heeft genomen of gekregen. Vergeet ook vooral de tokens niet om veilig in te kunnen loggen.
Een mogelijkheid is het opstellen van gedragsrichtlijnen voor het personeel waarbij wordt afgesproken dat ze de spullen in zullen leveren bij einde dienstverband en dat ze diefstal of verlies ervan zo snel mogelijk melden. Uiteraard moet je dat wel even controleren bij uitdiensttreding want er wordt snel getekend in goede tijden maar hoe is de naleving in slechte tijden?
Niet alleen hebben de assets een geldelijke waarde (3 tot 5 jaar afschrijving) maar juist ook de informatie die er op staat wil je graag ongeschonden terug hebben.
Spullen die afgevoerd worden omdat we ze echt nooit meer gaan gebruiken registreren we natuurlijk ook, maar eerst zorgen we ervoor dat alle informatie er vanaf is, toch? We willen niet dat onze oude server of harde schijf via Marktplaats verkocht wordt en we dat later in de Telegraaf kunnen lezen.
Het klinkt allemaal vrij logisch, toch? Toch zien we in de praktijk dat het aan de registratie (vastgelegd in een CMDB: Configuration Management Data Base) nog wel eens schort. Raar eigenlijk want alle leaseauto’s in ons autopark hebben we wel inzichtelijk.