De afgelopen 2 weken zijn we door de quickscan voor informatiebeveiliging heen gelopen. Met deze scan kan snel bepaald worden of er aandacht voor informatiebeveiliging en risicomanagement nodig is. Maar ja, een quickscan is maar een vluchtig overzicht, er is immers nog zoveel meer over te schrijven. Maar niet gevreesd, daar gaan we de komende tijd op in. We zullen ingaan op de vragen die we doornemen als we een volwaardige volwassenheidscan willen doorlopen. Soms liggen de vragen misschien wat dicht tegen de quickscan aan, maar dat is logisch want de uitgebreidere scan (het woord zegt het al) is dus een uitgebreidere versie van de quickscan.
Maar genoeg inleiding voor nu. De eerste vraag uit de volledige scan gaat in op beveiligingsbeleid en de doelstellingen. Omdat we die twee weken geleden al hebben behandeld, slaan we die voor nu even over en gaan direct door met de vraag:
Is er een goed begrip binnen de organisatie van beveiligingseisen en risicomanagement?
Beveiliging is geen doel op zich, daar zijn we inmiddels wel genoeg op ingegaan, maar we herhalen het toch nog maar even. Nee, beveiliging is een middel dat bij moet dragen aan de continuïteit van de primaire en secundaire bedrijfsprocessen van de organisatie. Of in gewoon Nederlands: het moet zo min mogelijk geld kosten en er, als het even kan, ook nog voor zorgen dat we er juist meer omzet door kunnen draaien.
Een goed begrip van beveiliging, beveiligingseisen en risicomanagement is daarom nodig binnen alle lagen van de organisatie om in te kunnen schatten welke operationele risico’s de organisatie kunnen raken, hoe erg dat dan is en welke beheersingsmaatregelen daarvoor eventueel getroffen kunnen worden. Het middel mag nooit erger zijn dan de kwaal, dus we moeten voorzichtig zijn en goede afwegingen maken.
Met betrekking tot operationele risico’s kunnen we op basis van een kosten/baten analyse simpel de volgende strategieën onderkennen:
• De risico’s accepteren;
• De risico’s mitigeren;
• De risico’s (of de gevolgen daarvan) overdragen aan een derde.
Welke risico’s we onacceptabel vinden verschilt per organisatie, per proces, per informatiesysteem en eventueel per gebouw. Zo kunnen we bijvoorbeeld voor ons hoofdkantoor bepalen dat we sommige risico’s niet wensen te lopen, terwijl we dat voor een bijkantoor misschien wel doen.
Het ontbreken van een goed begrip met betrekking tot beveiliging, beveiligingseisen en risicomanagement draagt het risico met zich mee dat er teveel, te weinig of de verkeerde activiteiten ontplooit worden op het gebied van beveiliging. Teveel beveiligen betekent dat er teveel kosten gemoeid zijn met de aanpak en dat het dagelijkse werk voor de medewerkers bemoeilijkt wordt. Te weinig of de verkeerde activiteiten zorgen voor schijnveiligheid en het in stand houden van onacceptabele risico’s. Een incident als gevolg van de verkeerde aanpak van beveiliging kan hoge kosten met zich meebrengen of kan voor (definitieve) discontinuïteit van de organisatie zorgen.
Daarbij moeten we niet alleen kijken naar de directe kosten die gemoeid zijn met het incident, maar juist ook met de gevolgschade (want die heeft veelal de grootste impact). Neem nu een brand: de organisatie ondervindt erg veel last van die brand maar gelukkig hebben we ons gebouw goed verzekerd. Tot zover niets aan de hand, maar gaan onze klanten een jaar op ons wachten totdat we weer kunnen leveren? Lopen de kosten (bijv. van ons personeel) in dat jaar niet gewoon door? Zijn we niet straks echt alle klanten kwijt aan onze concurrent? Dat zijn de gevolgen waar we echt wakker van moeten liggen en die meestal niet verzekerd zijn. We hebben dan ons gebouw wel terug, maar geen klanten meer (en dat zorgt uiteindelijk voor de discontinuïteit).
Maar wat is nu een goed begrip dan? Een goed begrip betekent dat we inzien dat het eigenlijk helemaal niet om die dure, afzonderlijke, technische, ingewikkelde maatregelen en incidenten gaat maar juist om een goede aansluiting bij de rest van de strategie van de organisatie en de mogelijke echte gevolgschade na een incident. Daarvoor is dan bijvoorbeeld weer een goed (en goedgekeurd) beveiligingsbeleid en een ingerichte beveiligingsorganisatie nodig.
Meer weten? Ik hoor natuurlijk graag van je.