Tag: in control

Bedrijven in zes sectoren moeten hack melden

  door

Hadden we het gisteren nog over het tekort aan kennis op het gebied van informatiebeveiliging in 2016 en zagen we daarbij dat dat tekort er eigenlijk op dit moment al is? Dan sluiten we daar vandaag bij aan met een bericht waarmee nog duidelijker zal worden dat het tekort snel zal toenemen.

Er komt een meldplicht voor bedrijven die de dupe zijn geworden van een ernstige hack. De meldplicht geldt alleen voor bedrijven in zes sectoren, waar het gevaar bestaat dat een digitale inbraak het maatschappelijk leven ontwricht…De meldplicht moet er nog dit jaar zijn voor onder meer sectoren die zich bezighouden met nutsvoorzieningen, telecom en de luchthavens als Schiphol en Rotterdam The Hague Airport. Maar ook de overheid zelf en de financiële sector moeten zich aan de meldplicht houden. Nog voor het einde van het jaar moet de wettelijke verplichting een feit zijn (bron).

Nu is de meldplicht op zich al een reden voor bedrijven om er wakker van te liggen maar als we nog net even een paar stappen verder denken dan betekent een dergelijke meldplicht ook dat we daadwerkelijk “in control” moeten komen op het gebied van informatiebeveiliging. We moeten niet alleen het beveiligingsniveau op orde hebben maar moeten daar ook sturing aan geven. We moeten gaan meten wat we al goed doen en waar we nog achter lopen. We moeten meetbaar maken waar zich risico’s voor zouden kunnen doen en waar zich reeds incidenten voor hebben gedaan.

Een hele interessante want er zijn nog maar weinig bedrijven die echt “in control” zijn op dit gebied. Een aantal is nog niet eens compliant en heeft nog bergen werk te verzetten. En nu kun je concluderen dat je natuurlijk als bedrijf alleen maar hoeft te melden wat je ook daadwerkelijk weet. Maar zo makkelijk kom je er (hopelijk) niet vanaf.

Nee, vergelijk het met de jaarrekening die veel bedrijven op moeten leveren. Daarbij moet je daadwerkelijk zicht hebben op je financiën. En natuurlijk weet ik dat je een jaarrekening ook met een dikke of dunne pen in het rood of in het groen kunt kleuren…er is niets tegen een beetje creatief boekhouden als het de waarheid maar weergeeft (welke waarheid mag je deels zelf bepalen maar ga je daarin te ver dan komt je dat duur te staan).

Iets dergelijks zou je op basis van een dergelijke meldplicht ook voor informatiebeveiliging (of breder voor je hele bedrijfsvoering) in kunnen stellen. Dat is misschien voor nu nog een brug te ver en zal alleen nog maar meer druk zetten op de aantallen informatiebeveiligers die nodig zijn, maar als ons dat ooit lukt hebben we een grotere kans dat er meer organisaties ook echt serieus naar gaan kijken.

Informatiebeveiliging: ‘compliant’ of ‘in control’

  door

Vorige week is mijn artikel geplaatst op Computable. Kleine moeite natuurlijk om dat bericht hier te herhalen.

Verbeteringen kunnen we, net als vele andere zaken, sturen op de drie algemeen bekend veronderstelde elementen van de duivelsdriehoek (geld, tijd of kwaliteit). Een waarheid die bij veel van ons wel op het netvlies staat. Hoe graag we dat misschien ook willen geloven, vormt informatiebeveiliging daar geen uitzondering op.

Inmiddels zijn we allemaal druk bezig met ‘compliant’ worden of toch liever het ‘in control’ raken op dit gebied. Houden we daarbij de elementen van de duivelsdriehoek (geld, tijd of kwaliteit) niet in de gaten, dan kan dat leiden tot frustraties en onbegrip.

Blijkens alle incidenten zien we dat de invoering van informatiebeveiliging nog niet altijd het gewenste effect heeft. We kunnen daarvoor gelukkig teruggrijpen op veel ‘lessons learned’ van bijvoorbeeld project- en kwaliteitsmanagement, wat ik je zeker aan wil raden. Maar daarnaast spelen nog andere facetten een rol zoals de dagelijkse gang van zaken, de scope en het doel van informatiebeveiliging, het risicogedrag van de organisatie, de inbedding van informatiebeveiliging in die organisatie maar juist ook de sturing er op.

Wat willen we?

Bij het opstarten van nieuwe informatiebeveiligingsprojecten vergeten we nog wel eens expliciet te maken of we ‘compliant’ of toch liever ‘in control’ willen zijn? Willen we een technische beveiligingsmaatregel implementeren of continuïteitsrisico’s afdekken? Dit is van belang omdat het een onderdeel van de business case zou moeten zijn en de sturing van informatiebeveiliging hier een afgeleide van is.

Het is natuurlijk heel verklaarbaar om te sturen op geld of tijd, omdat die goed ‘smart’ te maken zijn (iets mag X kosten en/of moet op tijdstip Y afgerond zijn). De vraag die rijst is of het verstandig is om bij de invoering of verbetering informatiebeveiliging te sturen op geld of tijd. Het is immers een kwaliteitsaspect waar we continu aandacht aan moeten besteden en dat we met behulp van regelkringen, zoals Deming, continu verbeteren. Een groot nadeel is natuurlijk dat kwaliteit, en daarmee informatiebeveiliging, veel minder makkelijk ‘smart’ te maken is. Kwaliteit is, volgens ISO 8402, immers ‘het geheel van eigenschappen en kenmerken van een product of dienst dat van belang is voor het voldoen aan vastgestelde of vanzelfsprekende behoeften’.

Over het algemeen geldt dat wanneer we ervoor kiezen om te sturen op ‘geld’ de doorlooptijd zal toenemen en de kwaliteit zal afnemen (het mag best wat langer duren en de kwaliteit mag best wat lager zijn als het budget maar niet wordt overschreden). Kiezen we er echter voor om te sturen op ’tijd’, dan zullen de kosten toenemen terwijl de kwaliteit afneemt (het mag best wat meer kosten en de kwaliteit mag best wat minder zijn, als het maar op tijd af is). Als laatste kunnen we sturen op ‘kwaliteit’. In dat geval zullen over het algemeen zowel de doorlooptijd als de kosten toenemen (het mag best wat langer duren en wat meer kosten, als het maar aan de kwaliteitscriteria voldoet).

De kunst is nu juist om het, voor de organisatie specifieke, optimum te vinden in geld, tijd en kwaliteit. Daarbij moeten keuzes gemaakt worden over welke kwaliteit wenselijk is binnen welke tijd en tegen welke kosten en welke compromissen we daarvoor dan bereid zijn om te sluiten.

In de praktijk zien we dat veelal gekozen wordt voor het sturen op ‘geld’ (ook al wordt er nog wel eens wat anders gezegd). Kiezen we daar niet voor, dan is de volgende keuze al snel sturen op ’tijd’. Een combinatie van sturen op geld en tijd is misschien nog wel de meest voorkomende combinatie in de praktijk. “Het moet morgen af zijn en mag niets kosten”; of iets genuanceerder, klinkt je vast bekend in de oren. Bij een dergelijke sturing komt de kwaliteit al snel onder druk te staan en die druk neemt alleen maar toe als de budgeten minder en de deadlines strakker zijn.

Wijs en verstandig

Dit geschreven hebbende en met in het achterhoofd dat informatiebeveiliging een kwaliteitsaspect is, komen we terug bij de vraag of het wijs en verstandig is om informatiebeveiliging te sturen op geld en/of tijd. Zouden we niet beter kunnen sturen op de kwaliteit ervan? Hoewel het antwoord op de vraag misschien volmondig ‘ja’ lijkt, ligt dat toch wat weerbarstiger. We moeten kijken naar de ondersteunende rol van informatiebeveiliging binnen de organisatie.

Laten we eerst nog even kort ingaan op de gevolgen van het sturen van beveiliging op andere aspecten dan kwaliteit. Sturen we op geld dan blijkt dat er veelal onvoldoende budget beschikbaar is waardoor het niet realistisch is dat er tijdig een, volgens onze normen, goede beveiliging wordt afgeleverd. We zullen onacceptabele risico’s blijven lopen. Sturen we daarentegen op tijd dan zijn de deadlines meestal te strak waardoor het niet realistisch is om binnen het beschikbare budget een bepaalde mate van beveiliging te leveren die aan onze eisen voldoet. Ook in dit geval blijven we onacceptabele risico’s lopen. Gaan we echter sturen op kwaliteit, wat dat dan ook moge zijn, van de beveiligingsmaatregel, dan zullen we zien dat het meer geld en tijd in beslag zal nemen om de beveiligingsmaatregel daadwerkelijk goed te implementeren. Daarentegen neemt de kans enorm toe dat we het onderkende risico ook daadwerkelijk afdekken. De keuze over wat een onacceptabel risico is, is echter veelal niet aan ons als beveiligers, maar aan het management. Wel is het onze verantwoordelijkheid om ze op de mogelijke gevolgen te wijzen. Of anders gezegd: het besluit over het compromis dat we bereid zijn te sluiten voor de variabelen geld, tijd en kwaliteit ligt bij het management.

De keuze om te kiezen voor een bepaald stuurelement hangt dus erg af van de vraag waarom de organisatie eigenlijk aan informatiebeveiliging doet en wat we daarbij onder kwalitatief goede beveiliging verstaan. Willen we ‘compliant’ zijn dan kunnen we inderdaad (of misschien zelfs wel beter) sturen op geld en/of tijd waarbij het voor de buitenwereld lijkt of we het goed voor elkaar hebben maar we in de praktijk accepteren dat we risico’s lopen. Willen we echter ‘in control’ zijn en de operationele risico’s die onze bedrijfsprocessen kunnen bedreigen echt beheersen, dan kunnen we wellicht beter sturen op de kwaliteit. De kunst is om het optimum te vinden waarbij ‘geld’, ’tijd’ en informatiebeveiliging in evenwicht zijn binnen het compromis van het management.
Voordat je aan je volgende informatiebeveiligingsklus begint, is het misschien een goed idee om jezelf en je opdrachtgever nog even de vraag te stellen wat het doel eigenlijk is: willen we ‘compliant’ zijn of toch liever ‘in control’? Dat scheelt een berg frustratie en miscommunicatie en de kans dat de resultaten als een succes worden gezien neemt toe.

Is duidelijk wat het doel van informatiebeveiliging is, dan heb je de volgende twee keuzes. Of er wordt gestuurd op het juiste sturingselement en je kunt aan de slag. Of je moet de opdrachtgever teleurstellen en de opdracht terug geven…tenzij hij of zij natuurlijk bereid is alsnog voor het best passende sturingselement te kiezen. En dat hoeft dus niet altijd ‘kwaliteit’ te zijn als de bijbehorende risico’s maar worden begrepen.

De kwaliteit van informatiebeveiliging: ‘compliant’ of ‘in control’…ook dat is een keuze.

Hier kun je het origineel vinden.

Nederland in Top 5 beste IT-security landen

  door

Nederland behoort tot de 5 landen waar IT-security het best geregeld is, maar aan de andere kant herbergen we ook de meeste spammers (Bron).

Niet zo gek natuurlijk dat we de meeste spammers herbergen, onze netwerken zijn zo goed beveiligd dat de spam-netwerken moeilijk uit de lucht gehaald kunnen worden. Fijne gedachte. En blijkt maar weer hoe goed de anti-spam wetgeving die is ingevoerd werkt. Foei, het mag niet, laten we het vooral in de wet vastleggen dan zullen die schobbejakken het wel uit hun hoofd laten.

Ach misschien beroepsdeformatie maar als wij al op de 5de plaats staan dan wil ik niet weten hoe het is met de andere 188 officieel erkende staten in de wereld. Voordat iedereen denkt dat we er wel zijn als we op de 5de plaats staan: pas op voor schijnveiligheid, hoewel we veel doen aan beveiliging doen we lang nog niet altijd de goede dingen.

Ik hoop dat 2010 het jaar wordt waarin we ons af gaan vragen of we compliant willen zijn op het gebied van beveiliging of dat we ook daadwerkelijk “in control” willen zijn. Ja, lees de zin nog eens, lijkt misschien of er hetzelfde staat, maar compliance aantonen is echt wat anders dan “in control” zijn.

De uitdaging voor 2010? Met minder budget betere beveiliging realiseren en meerwaarde voor de beveiligingsmaatregelen die we nemen aantonen. Een hele uitdaging, maar, mits er goed over na wordt gedacht, zeker niet onrealistisch.

Kortom: van het implementeren van beveiligingsmaatregelen naar het afdekken van risico’s. Een goed voornemen voor 2010 lijkt me.