Inmiddels hebben we de beveiligingsorganisatie beschreven en weet iedereen wat zijn taken, bevoegdheden en verantwoordelijkheden zijn, toch? Dat is allemaal leuk en aardig, maar hoe weten we nu of het ook echt werkt? Vandaag gaan we verder in op de toetsing van de beveiligingsmaatregelen. We zijn daarmee aangekomen bij vraag 3.
De derde vraag die we moeten stellen is:
Worden de genomen beveiligingsmaatregelen periodiek door een onafhankelijke organisatie doorgelicht?
En het antwoord? Ja, nee of weten we het eigenlijk niet?
Het lijkt hier misschien of het gaat om de toetsing van de beveiligingsmaatregelen die we genomen hebben. Kijk, de firewall doet het want het rode lampje knippert. Maar daar gaat het in eerste instantie helemaal niet om. Nee, in eerste instantie willen we weten of de risico’s voldoende zijn afgedekt. Of, anders gezegd: of we wel de juiste set aan beveiligingsmaatregelen hebben genomen waarbij de risico’s altijd leidend zijn (theorie) of zouden moeten zijn (praktijk).
Enerzijds gaat het er dus om of we de juiste set aan beveiligingsmaatregelen hebben genomen, maar anderzijds willen we er ook zeker van zijn dat deze maatregelen ook echt werken. Leuk hoor, die firewall en ik zie inderdaad dat hij 230volt krijgt want het lampje knippert inderdaad, maar wat doet hij nu echt? Welk verkeer houdt hij nu werkelijk tegen en is dat verkeer dat naar binnen of juist naar buiten wil?
Bij het toetsen van de maatregelen (of noemt het auditen, het maakt mij niet zoveel uit, ik begrijp je toch wel) moeten we niet alleen kijken naar de bekende termen als: opzet, bestaan en werking, maar moeten we juist ook nadenken of we de risico’s wel echt afdekken.
Te vaak zien we nog dat binnen organisaties het auditinstrument misbruikt wordt. Oh nee, we hebben een aanbeveling of rode kaart aan de broek. Snel oplossen die handel anders komt mijn bonus in gevaar. Daarbij vergeten we nog wel eens dat de auditor met zijn aanbeveling waarschijnlijk een doel voor ogen had (een bepaald risico afdekken). Een goede auditor gaat het er niet zozeer om dat je zijn aanbeveling exact implementeert, nee, het gaat hem er om dat het risico acceptabel wordt of op het juiste niveau geaccepteerd wordt.
Een klein praktisch tipje: zie de auditor niet als vijand met een rood potlood, nee, ga met hem of haar in overleg welk risico er afgedekt moet worden. Auditors zijn ook mensen, echt, geloof me (nou ja, de meeste dan). Wacht overigens niet tot de “expire date”, want dan ben je te laat en kun je waarschijnlijk op weinig bijstand rekenen.
Zo, vandaag een klein lichtje laten schijnen op de audits. Als we de samenwerking met de auditafdeling aan kunnen gaan dan is er een grotere kans dat we ook echt beter beveiligd zijn. We zijn dus weer een stap verder en kunnen met een gerust hart op weg naar vraag 4.
Nogmaals, voor diegene onder jullie die echt niet 10 dagen willen wachten, je kunt de quickscan zelf ook al doorlopen door hier te klikken of door me snel uit te nodigen voor die bak koffie.