Inmiddels zijn we aangekomen bij het punt waar we wat dieper ingaan op de beveiliging van de geautomatiseerde gegevensverwerking. Zoals we inmiddels al gezien hebben is dat een ondersteunend middel aan het bereiken van de doelstellingen van de organisatie. Daarom houden we de strategie van de organisatie en de doelstellingen waarmee we die strategie gaan bereiken in het achterhoofd en stellen onszelf de volgende vraag:
Zijn de eisen ten aanzien van de waarborging van de beschikbaarheid, exclusiviteit en integriteit geformuleerd voor de informatievoorziening?
Laten we even aftrappen met de definities uit Wikipedia die behoren bij de begrippen beschikbaarheid, exclusiviteit en integriteit:
- Beschikbaarheid bevat de garanties voor het afgesproken niveau van dienstverlening gericht op de beschikbaarheid van de dienst op de afgesproken momenten (bedrijfsduur, waarbij rekening wordt gehouden met uitvalstijden, storingen en incidenten). Kenmerken van beschikbaarheid zijn tijdigheid, continuïteit en robuustheid.
- Integriteit geeft de mate aan waarin de informatie actueel en correct is. Kenmerken zijn juistheid, volledigheid en geautoriseerdheid van de transacties.
- Vertrouwelijkheid is het kwaliteitsbegrip waaronder privacybescherming maar ook de exclusiviteit van informatie gevangen kan worden. Het waarborgt dat alleen geautoriseerden toegang krijgen en dat informatie niet kan uitlekken.
Simpel gesteld moeten we dus kijken naar het feit of de informatie beschikbaar is op het moment dat we die nodig hebben, dat de informatie die we dan willen gebruiken actueel en correct is en willen we zeker stellen dat alleen die mensen die dat mogen ook daadwerkelijk de informatie in kunnen zien.
Hoe hoger we de eisen ten aanzien van de informatievoorziening stellen, hoe meer beveiligingsmaatregelen we in de regel nemen en hoe meer kosten dat met zich mee brengt. Inmiddels hebben we in een eerder stadium ook al gezien dat we rekening moeten houden met de bedrijfsprocessen en dan met name diegene die kritisch zijn voor het voortbestaan van onze organisatie.
De hele kunst bij het stellen van deze eisen is om ze niet te hoog, maar zeker ook niet te laag te stellen. Daarbij komt het gezond boeren verstand weer om de hoek kijken. Stellen we de eisen immers te hoog dan brengt dat enorme kosten met zich mee (en wordt het werken voor de medewerkers meestal ernstig belemmerd), stellen we te lage eisen dan nemen de risico’s toe en deze passen wellicht niet binnen het risicogedrag dat we eerder bepaald hebben.
Hoewel de eisen in samenhang dienen te worden bezien, zien we in de praktijk veelal dat de eis voor beschikbaarheid concreet (of noem het SMART) wordt gesteld en dat de rest er in kwalitatieve zin om heen hangt. Op zich begrijpelijk, want de beschikbaarheid is ook makkelijker meetbaar te maken dan de integriteit en de exclusiviteit. Toch zouden we daar ook de controles op uit moeten voeren.
Voor organisaties die de informatievoorziening hebben uitbesteed, geldt dat de eisen ten aanzien van de beschikbaarheid, integriteit en exclusiviteit in de Service Level Agreement moeten worden opgenomen, dat de leverancier daar verantwoording over af moet leggen en dat we dat met de audits kunnen controleren. Dit grijpt dan uiteraard weer terug op het borgen van de beveiliging door het in de keten op te nemen.