Tag: bedrijfscontinuiteit

Vals gevoel van veiligheid

  door

Er heerst een vals gevoel van veiligheid bij IT-afdelingen. Waar de cybercriminelen de afgelopen jaren sterk zijn geëvolueerd met zeer geavanceerde malware aanvallen, zijn de IT-afdelingen achtergebleven. De gevolgen hiervan kunnen desastreus zijn voor bedrijven die denken dat ze veilig zijn (bron).

Hoewel dit bericht is geplaatst op een website van onze Zuiderburen kunnen we deze constatering wat mij betreft regelrecht doortrekken naar ons Kikkerlandje. Alleen zou ik mezelf niet zijn als ik er niets op aan te vullen had.

Wat mij betreft lopen we er constant tegen aan dat er een verschil is tussen “business security”, “information security” en “IT security” (nog los van het feit dat we dat doen op basis van risico management en voor de bedrijfscontinuïteit). Voor de buitenstaander lijken deze termen wellicht hetzelfde maar er is een groot verschil. Zo zou de IT-afdeling zich vooral zorgen moeten maken om de “IT security” die een afgeleide moet zijn van “information security” dat op zijn beurt weer is afgeleid van “business security”.

Ik pleit nog steeds voor een top-down benadering waarbij de dus beginnen met de “business security”. Willen we die goed in kunnen richten dan moeten we kijken welke missie, visie en strategie onze organisatie heeft. Deze moeten als uitgangspunt genomen worden. Als het goed is hebben we voor de korte, middellange en lange termijn doelstellingen bedacht die bijdragen aan onze missie, visie en strategie, toch? Dit klinkt misschien allemaal wat abstract, maar het een kan niet zonder het ander en als we niet weten welke kant onze “reis” op gaat, waar moeten we dan heen rijden?

Weten we welke uitgangspunten we kunnen hanteren voor onze “business security” dan kunnen we vervolgens kijken welke informatievoorziening daaraan een bijdrage levert en hoe kritisch die informatievoorziening dan is. We noemen het “information security” en dat is wezenlijk anders dan “IT security”. Begrijp me goed, ik schrijf dat het anders is en niet dat het een beter of belangrijker is dan het ander. Nee, sterker nog, de verschillende security benaderingen hebben elkaar maar al te hard nodig.

Goed, laten we het hier proberen kort te houden. Weten we welke informatievoorziening voor ons van belang is, dan kunnen we kijken welke informatie technologie die informatievoorziening mogelijk maakt. Welke hardware, welke applicaties, welke besturingssystemen, welke netwerken zorgen er eigenlijk voor dat we over de informatie kunnen beschikken als we ze nodig hebben (beschikbaarheid), wie heeft er eigenlijk allemaal toegang tot die informatie (exclusiviteit) en hoe juist is die informatie eigenlijk (integriteit)?

De conclusie dat er een vals gevoel van veiligheid heerst bij de IT-afdelingen wil ik nuanceren: er heerst een vals gevoel van “IT security” op IT-afdelingen. Net zoals er, als je het mij vraagt, een vals gevoel van “business security” heerst bij het top management van veel organisaties. En dat is onbegrijpelijk als we de missie, visie, strategie en doelstellingen serieus willen nemen. Een top down benadering op basis van risico management en gericht op bedrijfscontinuïteit lijkt hier toch beter op zijn plaats. Of niet?

Nieuwe NEN 7131 norm voor managen veiligheid

  door

Met de NEN 7131 norm zijn bedrijven en instellingen in staat om maatregelen te treffen voor risico’s die de bedrijfscontinuiteit in gevaar kunnen brengen. NEN 7131 gaat uit van een kwaliteitscyclus (Plan-Do-Check Act), het voorkomen van incidenten, maar ook om de gevolgen te beheersen mocht zich een incident voordoen, zodat de bedrijfscontinuiteit verzekerd blijft (bron).

Het ziet er naar uit dat we binnenkort weer een avondje moeten studeren om een nieuwe norm onder de knie te krijgen. Ik ben in ieder geval zeer benieuwd hoe deze nieuwe norm er uit komt te zien en of bedrijven hem ook echt gaan omarmen. Dit biedt wat mij betreft weer enorme kansen en een leuke uitdaging om bedrijven te helpen met hun bedrijfscontinuiteit.

Over de inhoud van de norm kan ik natuurlijk nog niks zeggen, ik kan alleen maar hopen dat we er slim mee omgaan. Te vaak zien we dat de maatregelen uit een norm (kijk maar naar de Code voor Informatiebeveiliging) domweg geimplementeerd worden zonder dat we de achterliggende gedachte proberen te doorgronden.

Ik zeg het wel vaker, maar dan toch nog maar een keer: het gaat niet om het implementeren van maatregelen…nee het gaat om het afdekken van risico’s. Of dat nu informatiebeveiligingsrisico’s zijn of risico’s voor de bedrijfscontinuiteit doet eigenlijk niet ter zake. Sterker nog, volgens mij zouden de informatiebeveiligingsrisico’s een afgeleide moeten zijn van die bedrijfscontinuiteit (wat heeft het anders voor zin?).

Tegen alle bedrijven die deze norm gaan implementeren wil ik graag zeggen: “hold your horses”, denk eerst even goed na over de methodiek voordat je hard gaat hollen met een pakket maatregelen onder je arm.

Oh ja, en als je er hulp bij nodig hebt mag je me natuurlijk altijd even over bellen.