Begrip van beveiligingseisen en risicomanagement

De afgelopen 2 weken zijn we door de quickscan voor informatiebeveiliging heen gelopen. Met deze scan kan snel bepaald worden of er aandacht voor informatiebeveiliging en risicomanagement nodig is. Maar ja, een quickscan is maar een vluchtig overzicht, er is immers nog zoveel meer over te schrijven. Maar niet gevreesd, daar gaan we de komende tijd op in. We zullen ingaan op de vragen die we doornemen als we een volwaardige volwassenheidscan willen doorlopen. Soms liggen de vragen misschien wat dicht tegen de quickscan aan, maar dat is logisch want de uitgebreidere scan (het woord zegt het al) is dus een uitgebreidere versie van de quickscan.

Maar genoeg inleiding voor nu. De eerste vraag uit de volledige scan gaat in op beveiligingsbeleid en de doelstellingen. Omdat we die twee weken geleden al hebben behandeld, slaan we die voor nu even over en gaan direct door met de vraag:

Is er een goed begrip binnen de organisatie van beveiligingseisen en risicomanagement?

Beveiliging is geen doel op zich, daar zijn we inmiddels wel genoeg op ingegaan, maar we herhalen het toch nog maar even. Nee, beveiliging is een middel dat bij moet dragen aan de continuïteit van de primaire en secundaire bedrijfsprocessen van de organisatie. Of in gewoon Nederlands: het moet zo min mogelijk geld kosten en er, als het even kan, ook nog voor zorgen dat we er juist meer omzet door kunnen draaien.

Een goed begrip van beveiliging, beveiligingseisen en risicomanagement is daarom nodig binnen alle lagen van de organisatie om in te kunnen schatten welke operationele risico’s de organisatie kunnen raken, hoe erg dat dan is en welke beheersingsmaatregelen daarvoor eventueel getroffen kunnen worden. Het middel mag nooit erger zijn dan de kwaal, dus we moeten voorzichtig zijn en goede afwegingen maken.

Met betrekking tot operationele risico’s kunnen we op basis van een kosten/baten analyse simpel de volgende strategieën onderkennen:
• De risico’s accepteren;
• De risico’s mitigeren;
• De risico’s (of de gevolgen daarvan) overdragen aan een derde.

Welke risico’s we onacceptabel vinden verschilt per organisatie, per proces, per informatiesysteem en eventueel per gebouw. Zo kunnen we bijvoorbeeld voor ons hoofdkantoor bepalen dat we sommige risico’s niet wensen te lopen, terwijl we dat voor een bijkantoor misschien wel doen.

Het ontbreken van een goed begrip met betrekking tot beveiliging, beveiligingseisen en risicomanagement draagt het risico met zich mee dat er teveel, te weinig of de verkeerde activiteiten ontplooit worden op het gebied van beveiliging. Teveel beveiligen betekent dat er teveel kosten gemoeid zijn met de aanpak en dat het dagelijkse werk voor de medewerkers bemoeilijkt wordt. Te weinig of de verkeerde activiteiten zorgen voor schijnveiligheid en het in stand houden van onacceptabele risico’s. Een incident als gevolg van de verkeerde aanpak van beveiliging kan hoge kosten met zich meebrengen of kan voor (definitieve) discontinuïteit van de organisatie zorgen.

Daarbij moeten we niet alleen kijken naar de directe kosten die gemoeid zijn met het incident, maar juist ook met de gevolgschade (want die heeft veelal de grootste impact). Neem nu een brand: de organisatie ondervindt erg veel last van die brand maar gelukkig hebben we ons gebouw goed verzekerd. Tot zover niets aan de hand, maar gaan onze klanten een jaar op ons wachten totdat we weer kunnen leveren? Lopen de kosten (bijv. van ons personeel) in dat jaar niet gewoon door? Zijn we niet straks echt alle klanten kwijt aan onze concurrent? Dat zijn de gevolgen waar we echt wakker van moeten liggen en die meestal niet verzekerd zijn. We hebben dan ons gebouw wel terug, maar geen klanten meer (en dat zorgt uiteindelijk voor de discontinuïteit).

Maar wat is nu een goed begrip dan? Een goed begrip betekent dat we inzien dat het eigenlijk helemaal niet om die dure, afzonderlijke, technische, ingewikkelde maatregelen en incidenten gaat maar juist om een goede aansluiting bij de rest van de strategie van de organisatie en de mogelijke echte gevolgschade na een incident. Daarvoor is dan bijvoorbeeld weer een goed (en goedgekeurd) beveiligingsbeleid en een ingerichte beveiligingsorganisatie nodig.

Meer weten? Ik hoor natuurlijk graag van je.

Beveiligingsbeleid en doelstellingen

De komende 10 (werk)dagen gaan we het anders doen, we gaan nu eens niet in op recent nieuws maar we doorlopen stapsgewijs de vragen uit de quickscan die ingaan op informatiebeveiliging met daarbij steeds een korte toelichting. Aan de hand van deze 10 vragen is eenvoudig te bepalen of we extra aandacht aan informatiebeveiliging moeten besteden.

En voor de oplettende lezer, ja ik weet dat het vandaag pasen is en dat dit geen officiële werkdag is, maar beschouw de komende 10 blogs dan maar als paaskado van mij aan jou, en wat is er dan mooier om op tweede paasdag te beginnen met het uitpakken van je kado?

De eerste vraag die we moeten stellen is:
Is er een actueel integraal beveiligingsbeleid en zijn de doelstellingen die de organisatie heeft met integrale beveiliging vastgelegd?

En het antwoord? Ja, nee of weten we het eigenlijk niet?

Geloof het of niet, maar beveiliging begint toch echt met het opstellen van een beveiligingsbeleid en het afleiden van de beveiligingsdoelstellingen van de algemene doelstellingen van de organisatie. Beleid klinkt natuurlijk al heel snel als een dik pak papier dat in de kast staat te verstoffen en waar niemand naar om kijkt. Ja, helaas is dat inderdaad vaak het geval, maar het kan ook anders, echt, geloof me. Het opstellen van een beveiligingsbeleid hoeft niet saai te zijn, is het dat wel dan doe je dat helaas toch echt helemaal zelf.

De kunst is om de inrichting van je beveiliging aan te laten sluiten bij de missie, strategie en doelstellingen van de organisatie. Dat vraagt denkwerk en is een hele uitdaging. Dus niet, ik herhaal: dus niet, het overschrijven van de Code voor Informatiebeveiliging, maar juist de vertaalslag maken naar de specifieke eigenschappen van de organisatie.

Het overschrijven van de Code voor Informatiebeveiliging is een gemakkelijke opgave, het schrijven van een goed en gedragen informatiebeveiligingsbeleid is al een stuk lastiger. Waarom? Nou simpelweg omdat we dus aansluiting moeten vinden bij de aard van de organisatie…en dat is makkelijker gezegd dan gedaan.

Zoals beloofd ga ik de blogs kort houden. Er is nog zoveel meer over te vertellen, maar dat doe ik graag onder het genot van een bak koffie. Wil je meer weten? Dan hoor ik dat wel. Hop, morgen op naar vraag 2.

Oh ja, voor diegene onder jullie die echt niet 10 dagen willen wachten voordat hun paaskado is uitgepakt, je kunt de quickscan zelf ook al doorlopen door hier te klikken of door me snel uit te nodigen voor die bak koffie.