Beveiligingseisen in contracten

De keten is zo zwak als de zwakste schakel, een mooi gezegde en misschien een dooddoener, maar toch waarheid als een koe als je het mij vraagt. Ok, vaak horen we dat de zwakste schakel in het geheel van informatiebeveiliging het personeel is. Misschien waar, misschien niet. We moeten er zeker alles aan doen om de medewerkers mee te krijgen in onze beveiligingsaanpak, want een belangrijke rol spelen ze zeker.

Vandaag gaan we niet in op de medewerkers maar juist op de keten. Als organisatie staan we niet los van de wereld maar we maken onderdeel uit van een bedrijfskolom. Toeleveranciers en afnemers en ergens in het midden staan wij (of aan het begin of eind natuurlijk). Als de keten zo zwak is als de zwakste schakel moeten we dus ook goed kijken naar hoe onze leveranciers en afnemers hun beveiliging hebben ingericht. Wij willen zelf niet de zwakste schakel zijn, maar willen ook zeker niet dat de anderen er een potje van maken. Juist daarom de volgende vraag:

Wordt in contracten met derden ingegaan op de beveiligingseisen die over en weer gesteld mogen worden?

Zo, dat is nogal een vraag en gelukkig hebben we allerlei Service Level Agreements afgesloten. Juist, hartstikke goed zeker een eerste stap. Maar hebben we in die SLA ook afgesproken hoe we omgaan met de beveiliging? Hoe we de beschikbaarheid, integriteit en exclusiviteit geborgd hebben? Dat we audits uit mogen voeren bij onze leveranciers (en doen we dat dan ook)? Weet je dat zeker? Misschien zijn we op een mooi punt aangeland om nog eens kritisch naar onze SLA’s te kijken.

Een beveiligingsparagraaf nemen we voortaan op in onze SLA’s. Hoe die er exact uit moet zien hangt heel erg van de diensten af die we afnemen. Maar als we eisen gaan stellen aan onze leveranciers en onze afnemers dan mogen we zelf niet de zwakste schakel zijn, zelf blijven we dus ook kritisch op onze aanpak.

Ok, de bezwaren zijn me bekend. Die leverancier moet dat maar lekker zelf regelen en als het misgaat dan kan hij een claim verwachten. Op zich prima, maar misschien wat kortzichtig. De claim is altijd gemaximaliseerd en inzicht ontbreekt vaak in hoe goed of slecht de leverancier het voor elkaar heeft.

Maar stel nou dat je een autofabrikant bent…laten we Toyota als voorbeeld nemen. Jij krijgt je remmen aangeleverd door een leverancier. Schroeft ze op de auto en hop, naar het dealerkanaal. Na verloop van tijd kom je er achter dat de remmen toch niet helemaal functioneren zoals je wilt en je roept voor de zekerheid alle auto’s van een bepaald type terug voor herstelwerkzaamheden. Gelukkig kun je een claim neerleggen bij de remmen leverancier die de kosten dan maar moet vergoeden. Nog los van het feit of je remmen leverancier over de middelen beschikt om al die kosten voor zijn rekening te nemen (bij faillissement geldt: van een kale kip valt niet te plukken…en je bent een leverancier kwijt), maar denk je nu echt dat al die Toyota rijders zich bedenken dat het de schuld is van de leverancier? Nee, Toyota loopt in dit voorbeeld imagoschade op…en die is vele malen hoger dan de claim die neergelegd kan worden bij de leverancier.

Kortom: we zorgen er eerst zelf voor dat we de informatiebeveiliging goed op orde hebben maar direct daarna gaan we ook in op de beveiliging bij onze leveranciers en afnemers. Zo versterken we de gehele keten en zorgen we voor echte continuïteit. We willen juist de claims voorkomen en willen onze leveranciers en afnemers graag helpen. Doen we het op deze wijze dan wordt de band tussen onze organisatie en alle andere partijen alleen maar versterkt.

Begrip van beveiligingseisen en risicomanagement

De afgelopen 2 weken zijn we door de quickscan voor informatiebeveiliging heen gelopen. Met deze scan kan snel bepaald worden of er aandacht voor informatiebeveiliging en risicomanagement nodig is. Maar ja, een quickscan is maar een vluchtig overzicht, er is immers nog zoveel meer over te schrijven. Maar niet gevreesd, daar gaan we de komende tijd op in. We zullen ingaan op de vragen die we doornemen als we een volwaardige volwassenheidscan willen doorlopen. Soms liggen de vragen misschien wat dicht tegen de quickscan aan, maar dat is logisch want de uitgebreidere scan (het woord zegt het al) is dus een uitgebreidere versie van de quickscan.

Maar genoeg inleiding voor nu. De eerste vraag uit de volledige scan gaat in op beveiligingsbeleid en de doelstellingen. Omdat we die twee weken geleden al hebben behandeld, slaan we die voor nu even over en gaan direct door met de vraag:

Is er een goed begrip binnen de organisatie van beveiligingseisen en risicomanagement?

Beveiliging is geen doel op zich, daar zijn we inmiddels wel genoeg op ingegaan, maar we herhalen het toch nog maar even. Nee, beveiliging is een middel dat bij moet dragen aan de continuïteit van de primaire en secundaire bedrijfsprocessen van de organisatie. Of in gewoon Nederlands: het moet zo min mogelijk geld kosten en er, als het even kan, ook nog voor zorgen dat we er juist meer omzet door kunnen draaien.

Een goed begrip van beveiliging, beveiligingseisen en risicomanagement is daarom nodig binnen alle lagen van de organisatie om in te kunnen schatten welke operationele risico’s de organisatie kunnen raken, hoe erg dat dan is en welke beheersingsmaatregelen daarvoor eventueel getroffen kunnen worden. Het middel mag nooit erger zijn dan de kwaal, dus we moeten voorzichtig zijn en goede afwegingen maken.

Met betrekking tot operationele risico’s kunnen we op basis van een kosten/baten analyse simpel de volgende strategieën onderkennen:
• De risico’s accepteren;
• De risico’s mitigeren;
• De risico’s (of de gevolgen daarvan) overdragen aan een derde.

Welke risico’s we onacceptabel vinden verschilt per organisatie, per proces, per informatiesysteem en eventueel per gebouw. Zo kunnen we bijvoorbeeld voor ons hoofdkantoor bepalen dat we sommige risico’s niet wensen te lopen, terwijl we dat voor een bijkantoor misschien wel doen.

Het ontbreken van een goed begrip met betrekking tot beveiliging, beveiligingseisen en risicomanagement draagt het risico met zich mee dat er teveel, te weinig of de verkeerde activiteiten ontplooit worden op het gebied van beveiliging. Teveel beveiligen betekent dat er teveel kosten gemoeid zijn met de aanpak en dat het dagelijkse werk voor de medewerkers bemoeilijkt wordt. Te weinig of de verkeerde activiteiten zorgen voor schijnveiligheid en het in stand houden van onacceptabele risico’s. Een incident als gevolg van de verkeerde aanpak van beveiliging kan hoge kosten met zich meebrengen of kan voor (definitieve) discontinuïteit van de organisatie zorgen.

Daarbij moeten we niet alleen kijken naar de directe kosten die gemoeid zijn met het incident, maar juist ook met de gevolgschade (want die heeft veelal de grootste impact). Neem nu een brand: de organisatie ondervindt erg veel last van die brand maar gelukkig hebben we ons gebouw goed verzekerd. Tot zover niets aan de hand, maar gaan onze klanten een jaar op ons wachten totdat we weer kunnen leveren? Lopen de kosten (bijv. van ons personeel) in dat jaar niet gewoon door? Zijn we niet straks echt alle klanten kwijt aan onze concurrent? Dat zijn de gevolgen waar we echt wakker van moeten liggen en die meestal niet verzekerd zijn. We hebben dan ons gebouw wel terug, maar geen klanten meer (en dat zorgt uiteindelijk voor de discontinuïteit).

Maar wat is nu een goed begrip dan? Een goed begrip betekent dat we inzien dat het eigenlijk helemaal niet om die dure, afzonderlijke, technische, ingewikkelde maatregelen en incidenten gaat maar juist om een goede aansluiting bij de rest van de strategie van de organisatie en de mogelijke echte gevolgschade na een incident. Daarvoor is dan bijvoorbeeld weer een goed (en goedgekeurd) beveiligingsbeleid en een ingerichte beveiligingsorganisatie nodig.

Meer weten? Ik hoor natuurlijk graag van je.