Hoewel de kop van het blog misschien anders doet vermoeden ga ik hier niet een lijst opnoemen met de belangrijkste bedreigingen op het gebied van informatiebeveiliging. Waarom niet? Op zich heel simpel, dat is niet het doel van mijn blogs en als je ze toch wilt vinden dan kun je er met Google snel genoeg achter komen. Nee, hier wordt juist ingegaan op de vraag en het waarom van de vraag, die dan ook luidt:
Zijn de belangrijkste dreigingen vastgesteld (men weet welke risico’s men loopt)?
Nu we inmiddels hebben gezien dat we moeten redeneren vanuit de operationele risico’s en niet meer vanuit de afzonderlijke beveiligingsmaatregelen kunnen we nader ingaan op de belangrijkste bedreigingen voor de continuïteit voor onze bedrijfsprocessen. Continuïteit van de bedrijfsprocessen, juist, dat is waar het om gaat. Voor die continuïteit heb je natuurlijk allerlei aspecten nodig, denk bijvoorbeeld maar aan: betalende klanten, goed geschoold en gemotiveerd personeel, producten die aan de behoeften voldoen, een organisatiestructuur en ga zo maar door. Informatiebeveiliging is ook een van die aspecten, niets meer en niets minder. Niet belangrijker of minder belangrijk dan al die andere aspecten en de juiste aspecten bij elkaar levert een succesvolle organisatie op (waarbij voor het gemak nog even geen rekening wordt gehouden met de markt en externe factoren die we niet zelf kunnen beïnvloeden).
Op basis van gezond boeren verstand, Google en bijvoorbeeld een brainstormsessie kunnen we de voor ons meest relevante dreigingen inzichtelijk maken. Vervolgens kunnen we voor die dreigingen de kans en de impact bepalen zodat we ook de prioriteiten kunnen stellen. Overigens moeten we wel voor onszelf duidelijk hebben wat de oorzaken en de gevolgen zijn. Brand is bijvoorbeeld niet een oorzaak maar eerder een gevolg, een gevolg van bijvoorbeeld een gefrustreerde medewerker die de boel in de fik steekt of kortsluiting in de meterkast. Twee totaal verschillende oorzaken, die ook een andere set aan maatregelen vereisen.
Vaak zullen we zien dat het gevolg dan misschien wel in het vakgebied van informatiebeveiliging mag vallen, maar dat de oorzaak heel ergens anders ligt. Voor die gefrustreerde medewerker moeten we kijken hoe tevreden ons personeel is, hoe we ze met respect behandelen terwijl we voor die kortsluiting misschien een iets betere administratie van de stroomvoorziening nodig hebben (die ene firewall kon echt niet meer op die groep, maar zonder inzicht blijft het gissen).
Voor een organisatie in het oosten van Nederland zal de kans op een Tsunami waarschijnlijk erg laag zijn terwijl de kans op brand of een virusuitbraak vele malen hoger kan zijn. Het voordeel van het bepalen van de dreigingen die voor onze specifieke organisatie van belang zijn, is dat we deze in de toekomst kunnen hergebruiken en eventueel aan kunnen vullen op basis van onze leereffecten.
Het risico van het niet redeneren vanuit reële dreigingen is dat we de verkeerde problemen het eerst oplossen. We zijn dan misschien wel serieus bezig met het onderwerp maar onze scope ligt verkeerd en ons budget wordt niet goed besteed waardoor we de echte risico’s onvoldoende afdekken.
Stel jezelf de vraag: wat kan ons uit het veld slaan? En is dat dan een gevolg of een oorzaak? Als we dat weten kunnen we een bewuste keuze maken: willen we er iets aan doen, of juist niet? En als we er wat aan willen doen, wat is dat dan?