Zoals we gisteren hebben kunnen zien bepalen de beschikbaarheid, integriteit en exclusiviteit van de verschillende componenten de eisen die we kunnen stellen aan de informatievoorziening. Daarbij moeten we niet vergeten dat de componenten op elkaar inwerken en met elkaar samenhangen. Een losstaand component zegt (in de meeste gevallen) niet zoveel omdat hij van andere componenten gebruik maakt om de informatie daadwerkelijk af te leveren.
Het zal dan ook niet echt een verrassing zijn dat we nu gaan kijken naar de samenhang. We stellen onszelf de vraag:
Worden er risicoanalyses (afhankelijkheid en kwetsbaarheid) uitgevoerd voor de informatiesystemen?
De afhankelijkheids- en kwetsbaarheidsanalyse staat beter bekend als de A&K-analyse. Zonder specifiek in te willen gaan op de A&K-analyse kunnen we ook gebruik maken van CRAMM, FIRM, SPRINT of wat mij betreft iedere andere methode. Het gaat er om dat we op basis van de eisen voor de beschikbaarheid, integriteit en exclusiviteit gaan kijken naar de mogelijke risico’s die die eisen in gevaar kunnen brengen.
We zijn al eerder ingegaan op risicoanalyse en risicomanagement en hiervoor geldt hetzelfde alleen is de scope van onze analyse anders. We moeten de oorzaken en gevolgen niet door elkaar halen en proberen om een reële inschatting te maken. Als we die inschatting hebben gemaakt kunnen we bepalen of we een risico willen accepteren, willen mitigeren of willen overdragen aan een ander (voorkomen kan natuurlijk ook, maar dat heeft implicaties voor de informatievoorziening en daarvoor is een keuze op een ander managementniveau noodzakelijk).
Als het goed is hebben we eerder al risicoanalyses gemaakt voor de totale organisatie, daar passen de risicoanalyses (ja, meervoud, het zijn er meer) bij. Net als we risicoanalyses kunnen en zouden moeten maken voor de assets en de medewerkers. Een totaal pakket aan risicoanalyses waarmee de organisatie leert om te gaan denken in operationele risico’s en minder in beveiligingsmaatregelen.
Het klinkt misschien allemaal erg zwaar en als een hele berg papier. Dat kan maar is helemaal niet nodig. Er kan ook op een pragmatische wijze mee worden omgegaan. Veel papier, dikke informatiebeveiligingsplannen zijn nooit het doel maar zijn (eventueel) een middel om de beveiligingsdoelstellingen te bereiken. En als dat netjes op 1 A4-tje past, dan heeft dat absoluut de voorkeur.