Gisteren hadden we het al over de kritische bedrijfsprocessen die ons uitgangspunt moeten zijn voor de aanpak van informatiebeveiliging. Daarbij zijn we ook ingegaan op de ondersteunende middelen: informatie, assets en personeel. We zagen daarbij ook dat we onderscheid maken tussen de geautomatiseerde en de niet geautomatiseerde data. Daar sluit de volgende vraag mooi bij aan:
Zijn de kritische informatiesystemen van de organisatie inzichtelijk?
Het is zeker niet mijn bedoeling om hier een wetenschappelijk of semi-wetenschappelijk blog van te maken, maar vandaag gooien we maar even de knuppel in het hoenderhok: kritische informatiesystemen staat niet gelijk aan de informatietechnologie die we daar voor inzetten. Computers, laptops, netwerken en ga zo maar door zijn wel een belangrijk aspect, maar we moeten onderscheid maken.
Het is wel belangrijk om een onderscheid te kunnen maken (nogmaals: zonder semi-wetenschappelijk te worden), laten we uitgaan van de informatievoorziening, de informatiesystemen en de informatietechnologie. Dat is een indeling die we goed kunnen gebruiken zonder dat het al te ingewikkeld wordt.
Voor het gemak kopieer ik even de informatie uit Wikipedia:
- De informatievoorziening van een organisatie is het geheel van mensen, middelen en maatregelen, gericht op de informatiebehoefte van die organisatie. De informatiebehoefte van een organisatie is drieledig:
- Operationele informatie, voor het verrichten van de feitelijke handelingen en het beheersen van de bedrijfsprocessen;
- Besturingsinformatie, voor de besturing van de organisatie;
- Verantwoordingsinformatie, informatie over verrichting en besturing.
- Een informatiesysteem is gericht op de ondersteuning -met informatievoorziening en gegevensverwerking- van de bedrijfsprocessen van de klant.
- Onder informatietechnologie worden hardware-, softwareproducten en diensten verstaan.
Hieruit kunnen we afleiden dat de informatiebeveiliging op zowel strategisch, tactisch en operationeel niveau zo in moeten richten dat het een logisch geheel vormt. Geen bottom-up benadering waarbij we maar wat doen maar een top-down benadering waar we kijken naar de strategie van de organisatie, die vertaald is in doelstellingen en waarvoor informatievoorziening noodzakelijk is. Voor die informatievoorziening gebruiken we vervolgens informatiesystemen en informatietechnologie.
Niet het inzetten van een firewall (informatietechnologie) dus omdat het een firewall is, maar omdat het de informatiesystemen kan beschermen die we nodig hebben om de operationele, besturings- en verantwoordingsinformatie beschikbaar te stellen aan het hoger management.
Dat hoger management is geïnteresseerd in hoe goed die informatievoorziening is. Hoe betrouwbaar is de informatie en krijgen ze de gegevens aangeleverd wanneer ze ze nodig hebben (beschikbaarheid)? Dat we daarvoor een firewall nodig hebben is voor hen minder van belang. Het moet gewoon werken en daar worden wij voor betaald.
Voor nu stoppen we er mee, hopelijk morgen een iets luchtiger onderwerp.