Inmiddels hebben we het gehad over de kritische informatie en de kritische afdelingen en medewerkers. Zoals eerder aangegeven worden processen ondersteund door die informatie en dat personeel, maar de assets of middelen mogen we ook niet vergeten tegen het licht te houden. De volgende vraag die we stellen zal je inmiddels niet meer verrassen:
Zijn de kritische assets en middelen van de organisatie inzichtelijk?
Kritische assets en middelen. Daar valt eigenlijk alles onder wat we niet konden vatten onder de informatie (geautomatiseerd of niet) en het personeel. Het kunnen dus zijn de gebouwen waar we in gehuisvest zijn, de robotstraat die de producten maakt maar ook bijvoorbeeld de hardware (pc’s, laptops, servers, etc.).
Het hangt helemaal af van de organisatie en de aard van die organisatie over hoeveel kritische assets en middelen beschikken. De ene locatie zal een grotere impact hebben op ons voortbestaan dan de ander. Kijk ook goed naar waar de informatie is opgeslagen, hebben we die uitbesteed of beheren we ons eigen data center?
Een kleine organisatie in de dienstverlening zal misschien snel door kunnen werken na een brand omdat iedereen beschik over een laptop en de data is ondergebracht in een goed beveiligd data center. Een grotere organisatie die zelf een data center beheert heeft wellicht meer problemen bij het uitbranden van dat data center.
Bij het beveiligen van de kritische assets en middelen komen we misschien al meer terecht op het gebied van de fysieke beveiliging. Maar dat heeft alles te maken met de definitie die we er aan koppelen. Wij maken liever geen onderscheid en benaderen de aanpak integraal. We kunnen immers de firewall wel dichtzetten met inlognaam en wachtwoord maar als er een crimineel met een hamer de firewall aan gort slaat dan hebben we toch echt problemen.
Dit is ook de gedachte achter de filosofie dat we niet zozeer naar de maatregelen moeten kijken maar dat we de risico’s als uitgangspunt moeten nemen. Als het risico is: uitval van de firewall, dan moeten we goed kijken wat daar de mogelijke oorzaken van kunnen zijn. Denk bijvoorbeeld aan een hack poging van buiten af of een crimineel die inbreekt en de firewall steelt. In beide gevallen kan het gevolg uitval van de firewall zijn terwijl de oorzaken en dus de maatregelen totaal anders kunnen zijn.
Hoe meer we doen aan informatiebeveiliging hoe groter de kans wordt dat een aanvaller voor de makkelijkere weg kiest. Informatiebeveiliging en fysieke beveiliging moeten elkaar dan ook ondersteunen en met elkaar in evenwicht zijn. Ook hier geldt: de keten is zo zwak als de zwakste schakel. Een superieure aanpak van informatiebeveiliging met een zeer zwakke fysieke beveiliging lost het probleem niet op…of anders gezegd: dekt het risico niet voldoende af.