Preventie, detectie, repressie en correctie

Vandaag maar eens een bericht dat niet direct gekoppeld is aan een nieuwsbericht maar meer aan een overweging. Uiteraard benieuwd wat jullie er van vinden.

Het lijken zulke eenvoudige termen en de volgorde lijkt ook vrij logisch: preventie, detectie, repressie en correctie. Dat is waar het allemaal om draait als we het hebben over de drietrapsraket: risk, security, continuity.

Risk management, security management en business continuity management. Deze begrippen kunnen we aan elkaar koppelen en dan wordt het allemaal nog een stuk duidelijker.

Eerst moeten we bepalen welke risico’s we allemaal lopen. Daarvoor roepen we risk management in het leven. We kijken naar de enterprise risks en naar de operational risks en bepalen de dreigingen die we op ons af kunnen zien komen. Voor deze dreigingen bepalen we de kans en de impact en de hele basis is gelegd. Uiteraard moeten we hierbij nog wel rekening houden met de missie, visie en strategie van onze organisatie. Om die te bereiken bepalen we de doelstellingen voor de korte termijn. Risico’s die daar een negatieve invloed op kunnen hebben verdienen onze aandacht.

Nu we die dreigingen weten kunnen we bepalen wat onze risicomanagement strategie is. Welke risico’s willen we in behandeling nemen en welke risico’s accepteren we? Voor die risico’s die de aandacht verdienen gaan we verder met de stap security management.

In die zin is security management gericht op preventie. Het voorkomen van de risico’s en het voorkomen van incidenten. Maar zoals we weten, kunnen we niet alle incidenten voorkomen. In dat geval zullen we dus moeten zorgen dat we de incidenten detecteren. In dit opzicht dus onderdeel van security management.

Business continuity management kunnen we dan koppelen aan de repressie en de correctie. Met business continuity zorgen we ervoor dat we tijdens een incident gewoon door kunnen draaien. Maar als we het hebben over correctie dan komen we al snel uit bij disaster recovery. Oké, het incident heeft zich voorgedaan en op basis van de business continuity maatregelen hebben we met workarounds toch gewoon door kunnen werken.

Maar ja, die workarounds kunnen we niet langdurig in het leven houden. Ze zijn bijvoorbeeld te duur of niet efficient genoeg voor de dagelijkse gang van zaken. Daar komen dan de correctieve maatregelen om de hoek kijken. We moeten weer terug naar de business as usual. Als het goed is kunnen we met de BCP’s (business continuity plans) en de DRP’s (disaster recovery plans) aan de gang om de schade voor ons te beperken.

Hebben we een dergelijke cyclus eenmaal doorlopen dan begint het spel weer van vooraf aan. We gaan weer kijken naar de dreigingen en de kans en de impact daarvan. Misschien moeten we concluderen dat de kans en de impact toch hoger is dan we vooraf hadden ingeschat. Daar passen we de security maatregelen en de business continuity aanpak dan weer op aan.

Maar ook als we niet geconfronteerd worden met de uitbraak van een incident. Dan toch moeten we de cyclus continu doorlopen. Alleen treden dan onze BCP’s en DRP’s niet echt in werking. Wel kunnen we ze natuurlijk testen en reviewen. Blijkbaar zijn we niet geconfronteerd met een incident of blijkbaar hebben onze security maatregelen goed gewerkt. Wat het antwoord hierop is? Dat moeten we analyseren. Zijn we echt “in control” (onze maatregelen hebben gewerkt) of hebben we gewoon mazzel gehad en is dit incident onze deur voorbij gegaan?

Tot zover de overwegingen voor vandaag. We kunnen dus de koppeling leggen: stap 1: risk management, stap 2: security management (gericht op preventie en detectie) en stap 3 business continuity (repressie en correctie).

Kunnen we dit aan concrete voorbeelden koppelen waar het management wakker van ligt, dan sluit ik niet uit dat we aandacht krijgen van dat management. Maar goed, dat is een mooie overweging voor morgen.