Periodieke onafhankelijke toetsing van beveiliging

Inmiddels zijn we al een aardig stuk op weg om de beveiliging goed ingeregeld te krijgen. We hebben hard gewerkt aan het beleid, we hebben de organisatie ingericht, we hebben inmiddels draagvlak bij het hoogste management maar ook bij de medewerkers.

Waarschijnlijk hebben we inmiddels ook al allerlei beveiligingsmaatregelen getroffen. Hoewel we al goed op weg zijn, wordt het nu wel extra oppassen. Oppassen voor schijnveiligheid. Doen we wel de juiste dingen en doen we die dingen wel juist? Een vraag die we, terecht, vaak horen: hoe goed doen we het nu eigenlijk? Daarmee zijn we aangekomen bij de volgende vraag:

Worden de genomen beveiligingsmaatregelen periodiek door een onafhankelijke organisatie doorgelicht/beoordeeld?

Oh, jee. Ik hoor het je denken. Daar komt een heel batterij auditors aan met rode potloden om alles af te kraken wat we zo zorgvuldig hebben opgebouwd. Krijgen we weer allerlei findings aan de broek die ons dagelijks werk enorm gaan verstoren. Toch is dat helemaal niet nodig.

Strikt genomen kun je de aanpak van beveiliging inderdaad door een onafhankelijke derde laten toetsen. Dat kan in een later stadium zeker een goed idee zijn want zij kunnen zaken zien die wij over het hoofd hebben gezien. Toch hoeven we in dit stadium nog geen duur extern accountskantoor of een interne auditafdeling in te zetten. We kunnen ook gewoon een keer een collega manager vragen om eens met ons mee te denken, hoe kijkt hij of zij er tegen aan? Zit onze aanpak logisch in elkaar? Missen we nog zaken?

Ja, ja, ik hoor de tegenargumenten: we gaan onze vuile was toch niet met een andere manager delen? Wat weet hij of zij nou eigenlijk van beveiliging? Nou, waarschijnlijk niet bijzonder veel. Maar daar gaat het ook niet om. Het gaat niet om het laten beoordelen van al onze beveiligingsmaatregelen (op dit moment, later kan dat altijd nog een keer door een specialist). Nee, het gaat er juist om of onze aanpak logisch in elkaar zit, of we de juiste risico’s onderkend hebben, of het beveiligingsbeleid een beetje begrijpelijk is en of de taken, bevoegdheden en verantwoordelijkheden ook echt gedragen worden.

Aan de hand van de informatie die we van onze collega hebben ontvangen kunnen we weer een verbeterslag maken. Daarna kunnen we altijd nog onze interne auditafdeling vragen ook eens met ons mee te kijken. Niet om onze beveiliging genadeloos de grond in te boren, maar juist om ons weer te wijzen op aspecten die we anders of beter aan kunnen pakken. Niet door het over de schutting gooien van allerlei dikke pakken papier. Nee, door met hen in gesprek te gaan en hen er echt om te vragen. Nog voordat de directie het de auditafdeling vraagt…want dan kan het een ander spel worden.

De auditfindings zien we dan ook niet als aanval op onze aanpak, maar zien we als wederom mogelijke verbeterpunten. Toegegeven, er zijn slechte en goede auditors…wat dat betreft zijn het net mensen. Maar met de goede auditors kunnen we in gesprek gaan, niet om allerlei beveiligingsmaatregelen die uit de findings komen te implementeren maar om de risico’s af te dekken. Kortom: voordat we een finding blind accepteren vragen we een nadere toelichting op het risico dat we af moeten dekken. De auditor is er niet om ons af te straffen, maar is een instrument van de directie om aantoonbaar te maken hoe goed onze aanpak is.

Zo, inmiddels hebben we al wat verbeterslagen geslagen door de adviezen van onze collega’s (managers en auditors) door te voeren. Als we dat willen, omdat we bijvoorbeeld gecertificeerd willen worden, kunnen we nu een externe partij vragen om er ook eens naar te kijken. We kunnen goed onderbouwen waarom we sommige zaken wel en sommige zaken niet hebben opgepakt. We tonen ze niet allerlei losstaande beveiligingsmaatregelen maar onze aanpak. Ongetwijfeld komen ook daar auditfindings uit, maar dat is geen probleem. Dat zijn er een stuk minder dan normaal en diegene die er zijn passen we in in onze totale aanpak.

Ook die externe partij is niet een vijand van ons, maar is een instrument om de beveiliging goed in te richten. Want dat is wat we willen, toch?

Maak de interne en externe auditors tot je beste kameraad, zie auditfindings niet als aanval en ga in gesprek over de risico’s die we nog af moeten dekken. Zo bereiken we een niveau dat goed is voor de organisatie.