We zijn inmiddels een aardig stuk onderweg en zijn al goed bezig om beveiliging ook echt werkend en geborgd te krijgen in de organisatie. We doen aan risico analyse en bepalen wat ons risicogedrag is. Voor die risico’s die we niet kunnen accepteren gaan we op onderzoek uit om de beheersingsmaatregelen te bepalen.
Hierbij komen we al snel tot de conclusie dat een aantal van die maatregelen toch minimaal geïmplementeerd moeten zijn en dat we iedere keer terug komen op diezelfde maatregelen (een deur in een gebouw is toch wel handig om buitenstaanders buiten te houden). Om te voorkomen dat we iedereen afzonderlijk deze basis maatregelen laten bepalen, gaan we op zoek naar de grote gemene deler.
De vraag die we daarom stellen is:
Is er een vastgesteld basis beveiligingsniveau waaraan alle informatiesystemen (maar ok gebouwen, processen, etc.) minimaal moeten voldoen?
Door de hele organisatie heen kunnen we een basis leggen waaraan we minimaal moeten voldoen. We nemen steeds dezelfde maatregelen en proberen die zo uniform mogelijk te maken. Waarom zouden we het wiel iedere keer opnieuw uitvinden als we toch weten dat een wiel dat rond is, het beste rolt?
Gelukkig kunnen we gebruik maken van allerlei standaarden die er op de markt te verkrijgen zijn. Neem bijvoorbeeld de Code voor Informatiebeveiliging waar we het basis beveiligingsniveau uit af kunnen leiden. Met common sense, of gewoon boeren verstand, kunnen we echt wel bepalen wat we als standaard zouden moeten hanteren.
We moeten echter wel even stil staan bij het abstractieniveau waarop we het basis beveiligingsniveau bepalen. Willen we bijvoorbeeld als standaard opnemen dat we iets aan logische toegangsbeveiliging moeten doen of nemen we expliciet op dat er gebruik moet worden gemaakt van een inlognaam, pincode en toegangspas? Dat laatste is misschien wel concreet, maar gaat het voor ieder systeem werken? We zijn natuurlijk niet op zoek naar papierentijgers maar naar een aanpak die ook echt de risico’s afdekt.
De kunst is juist om het optimum te vinden in het abstractieniveau en vervolgens de detaillering of specifieke invulling over te laten aan degene die we verantwoordelijk hebben gemaakt voor het informatiesysteem, maar net zo goed voor het fysieke gebouw en processen natuurlijk, want ook daarvoor kunnen we basis beveiligingsniveaus opstellen.
Het voordeel is dat we uniform maatregelen kunnen implementeren en dat we niet iedere keer opzoek hoeven naar zaken die standaard al ingeregeld zijn. Een juiste omgang met een basis beveiligingsniveau ondersteund dus het lijnmanagement, zorgt ervoor dat we aan de minimale eisen voldoen die passend is voor onze bedrijfsstrategie en kan er ook nog eens voor zorgen dat we schaalvoordelen bereiken bij de aanschaf van maatregelen.
Nog niet nagedacht over het basis beveiligingsniveau? Dan is dat nu een mooi moment om te doen voordat we verzanden in allerlei dubbele of onzinnige maatregelen die uiteindelijk veel meer kosten dan ze opleveren.