Tag: informatiesystemen

Een overzicht van locaties

  door

Het moet toch allemaal niet gekker worden, zul je wellicht denken. Natuurlijk beschikken we als organisatie over een overzicht van locaties, toch? Hoewel dat met alle verhuizingen voor veel organisaties nog te bezien valt, gaat het hier niet zo zeer om. Nee, laten we er vanuit gaan dat er inderdaad een actueel overzicht met adresgegevens is. Maar weten we ook welke activiteiten en processen zich in welk gebouw afspelen? Weten we welke kritische systemen in welke gebouwen zijn onder gebracht? Weten we welke locaties kritisch zijn voor het voortbestaan van onze organisatie?

De vraag is daarom:
Is er een overzicht van alle locaties waar (kritische) bedrijfsprocessen plaatsvinden, waar informatiesystemen zijn gesitueerd en waar personeel werkzaam is?

Hoe groter de organisatie, hoe meer locaties we ter beschikking hebben. Het nieuwe werken brengt daar voorlopig (waarschijnlijk) nog weinig verandering in. Daarom willen we graag weten welke bedrijfsprocessen, informatiesystemen en afdelingen in welke gebouwen gesitueerd zijn. We willen dus een soort van blauwdruk, we willen een “landkaart” waarop we onze high level risico’s gerichter in kunnen tekenen en gerichter beveiligingsmaatregelen toe kunnen passen.

Laten we dus eerst beginnen met de adresgegevens waarna we al snel overstappen op de plattegronden van de gebouwen. Op die plattegronden kunnen we in gaan tekenen hoe kritisch de verschillende gebouwen en ruimtes zijn en waar welke processen en systemen geplaatst zijn. Vervolgens kunnen we de beveiligingsmaatregelen (die we op basis van de bijbehorende risico’s bepaald hebben) gericht toe gaan passen.

Dat scheelt niet alleen een berg schijnveiligheid (omdat we nu de juiste maatregel op de juiste locatie kunnen implementeren) maar het scheelt ons ook nog eens een grote berg met geld. Die gebouwen die minder kritisch zijn hoeven ook minder zwaar beveiligd te worden (let op: ik schrijf niet minder goed, maar minder zwaar. Want alle gebouwen moeten goed beveiligd worden…in overeenstemming met de risico’s).

Nu we meer en meer zicht beginnen te krijgen op onze kritische gebouwen en onze kritische ruimtes in die gebouwen, kunnen we eens een rondje door die gebouwen doen. Bij die ronde letten we goed op de maatregelen die we al genomen hebben en we noteren het een en ander op de plattegronden. Hebben we het gebouw al langer in bezit en hebben we al vaker naar de fysieke beveiliging ervan gekeken dan zullen we wellicht constateren dat we wel de maatregelen hebben genomen maar dat de kritische processen zich inmiddels in een andere ruimte bevinden. Bij de verhuizing van die kritische processen en informatiesystemen zijn we de bijbehorende beveiligingsmaatregelen even vergeten.

Hebben we nog nooit een dergelijke ronde gelopen, dan is het zaak daar op korte termijn mee te beginnen. Uiteraard kijken we eerst naar de meest kritische gebouwen…de rest volgt daarna wel. Naar mate we meer en meer ervaring krijgen, zien we ook de tekortkomingen sneller. Na verloop van tijd weten we al hoe het gesteld is met de beveiliging zodra we een stap over de drempel hebben gezet.

Wordt het gebouw niet schoon gehouden? Hebben we een beetje achterstallig onderhoud omdat we in het verleden hebben moeten bezuinigen? Dan valt dat ons snel op. Vaak kunnen we met gezond boerenverstand al een heel eind komen, we kunnen het “low hanging fruit” plukken zodat de grootste risico’s zijn afgedekt.

Voor de basis van fysieke beveiliging kunnen we dus gewoon logisch nadenken, de grootste risico’s, het “low hanging fruit” pakken we zelf op. Als de processen en systemen erg kritisch zijn dan schakelen we natuurlijk een expert in om ons te ondersteunen. Wij leren daar dan weer van, de beveiliging wordt er beter van en de onacceptabele risico’s zijn beter afgedekt.

Informatiebeveiliging kan niet zonder fysieke beveiliging. Gelukkig dienen ze allebei hetzelfde doel: continuïteit van onze bedrijfsprocessen.

Beveiliging en de afstemming op de processen

  door

Inmiddels beginnen we steeds meer te denken aan het beschermen van de processen om de continuïteit van onze organisatie beter te borgen. We hebben inmiddels ook wel door dat het helemaal niet draait om allerlei technische beveiligingsmaatregelen als firewalls, anti-virus en intrusion detection. Nee, inmiddels weten we dat de keuzes die we maken draait om het verhogen van de omzet, het verlagen van de kosten en het beschermen van ons imago. Dat we daarvoor uiteindelijk allerlei beveiligingsmaatregelen moeten nemen geloven we wel en is meer een zaak van de IT- en Facility-afdeling.

Willen we de uitvoerende afdelingen hun werk goed kunnen laten doen dan moeten we op tactisch niveau de kaders stellen waarbinnen zij kunnen opereren. Daarom de volgende vraag:
Zijn de eisen ten aanzien van de waarborging van de beschikbaarheid, exclusiviteit en integriteit op processen (bedrijfsvoering) afgestemd?

Denken we aan continuïteit van de bedrijfsprocessen en informatiesystemen dan denken we al snel aan de beschikbaarheidseisen die de waaraan moeten stellen. Meestal drukken we die uit in percentages als 95%, 98% of 99,9% die we doorvertalen naar brons, zilver en goud, omdat de klant die percentages helemaal niet wil horen. De percentages kunnen we meten en de IT-afdeling kan daar mooi verantwoording over afleggen. Hoewel dit allemaal makkelijker gezegd is dan gedaan, is er nog niet echt iets nieuws onder de zon.

Maar naast de beschikbaarheid moeten we ook kijken naar de eisen die we stellen aan exclusiviteit en integriteit. Exclusiviteit gaat in op de wijze waarop we ervoor zorgen dat alleen geautoriseerde personen of systemen toegang krijgen tot de informatie, terwijl integriteit juist ingaat op de juistheid, volledigheid en tijdigheid van de informatie.

Stellen we geen of de verkeerde eisen aan de exclusiviteit dan kan dat ervoor zorgen dat de informatie door ongeautoriseerde personen benaderbaar is en onze informatie al snel op straat komt te liggen. We lopen hiermee het risico dat ons imago een flinke deuk oploopt.

Hebben we te weinig zicht op de integriteit van de informatie dan kan dat er bijvoorbeeld voor zorgen dat we verkeerde keuzes maken op basis van onbetrouwbare informatie. Dit kan ons veel omzet schelen maar kan ook voor enorme kosten zorgen. Verkeerde keuzes kunnen ook leiden tot imagoschade. Denk maar aan het geval waar een arts op basis van de verkeerde informatie het verkeerde been van een patiënt amputeert.

Willen we dus continuïteit van onze organisatie en haar bedrijfsprocessen dan stellen we beschikbaarheids-, exclusiviteits, en integriteitseisen aan de informatiesystemen. Daarbij laten we de kosten en baten weer meewegen want hoe meer maatregelen we nemen, hoe meer kosten dat met zich meebrengt en hoe moeilijker de medewerkers hun werk kunnen doen. De kunst is niet om lukraak de eisen te stellen maar juist om het optimum te vinden waarbij de eisen zo goed mogelijk aansluiten bij de missie van onze organisatie. Daarbij moeten we zeker in de gaten houden dat het allemaal wel werkbaar moet blijven omdat de medewerkers er anders omheen gaan werken.

De eisen die we stellen kunnen per organisatie verschillen. Zo zal een geheime dienst andere eisen stellen dan de bakker om de hoek (als die laatste al eisen stelt). Maar ook per informatiesysteem kunnen de eisen verschillen. De kritische informatiesystemen krijgen wellicht hogere eisen opgelegd dan een niet kritisch systeem. Hierbij houden we uiteraard weer de relatie tussen de bedrijfsprocessen en informatiesystemen goed in het oog en leiden we het een en ander af uit de missie van onze organisatie. Wel stellen we graag eisen die haalbaar zijn, we maken ze SMART om te voorkomen dat het er op papier allemaal leuk uit ziet, maar in de praktijk nooit gaat werken.

Kritische bedrijfsprocessen en informatiesystemen

  door

Inmiddels weten we dat we het beheer van de informatiesystemen heel goed in kunnen richten met standaarden als ITIL, ASL en BiSL. Besluiten we om dat te gaan doen dan gaan we eerst nog wat aanvullende keuzes maken. Het heeft niet zoveel zin om te beginnen met professioneel beheren van informatiesystemen die we nauwelijks gebruiken. We moeten kijken naar de relatie tussen kritische bedrijfsprocessen en informatiesystemen. Daarvoor moeten we dus zicht hebben op de bedrijfsprocessen aan de ene kant en de ondersteunende informatiesystemen aan de andere kant.

We stellen ons daarom de volgende vraag:
Is er inzichtelijk welke kritische bedrijfsprocessen van welke informatiesystemen, netwerkcomponenten en IT-middelen afhankelijk zijn?

Bij de kritische bedrijfsprocessen denken we wellicht direct aan die processen waarmee we ons geld verdienen, de primaire processen. Inderdaad veelal belangrijke en kritische processen. Maar we moeten niet vergeten dat er ook veel secundaire processen zijn die voor het voortbestaan van de organisatie kritisch kunnen zijn. Met deze secundaire processen verdienen we dan niet direct ons geld, maar ze zijn wel erg belangrijk om de primaire processen hun werk te kunnen laten doen.

We zullen dus zicht moeten hebben op de processen die ervoor zorgen dat onze organisatie werkt zoals ze werkt. Vervolgens zullen we goed moeten kijken welke informatiesystemen, netwerkcomponenten en IT-middelen een belangrijke bijdrage leveren aan die kritische bedrijfsprocessen. Juist voor deze systemen, componenten en middelen willen we het beheer goed inregelen. Waarom? Simpel: omdat uitval daarvan ons direct geld kost.

Klinkt weer eens erg cryptisch, maar geen nood. Een simpel voorbeeld: stel dat we een productiebedrijf zijn. Onze productiestraat is van groot belang en deze is inmiddels geheel geautomatiseerd. Tot zover niets bijzonders. Voor de toegang tot onze productiehal gebruiken we een geautomatiseerd toegangssysteem. Geen pasje, geen toegang, lekker veilig. Maar wat als het toegangssysteem hapert en de medewerkers niet naar binnen kunnen? Hoe snel kunnen we ervoor zorgen dat er een andere deur open gaat zodat de productie kan worden opgestart? Juist: het toegangssysteem hebben we nooit als kritisch gemarkeerd (en dat is misschien ook helemaal niet nodig), maar we hebben er wel enorme last van als de medewerkers een dag niet naar binnen kunnen en we een dag dus geen productie kunnen draaien.

We hebben het al vaker geschreven: processen kunnen we niet (of nauwelijks) beveiligen omdat een proces slechts een beschrijving is. De activiteiten en middelen die ervoor zorgen dat dat proces werkt, die kunnen we wel beschermen. Daarbij zagen we eerder al dat we ons kunnen richten op de informatiesystemen (inclusief netwerkcomponenten, IT-middelen, etc.) en op de assets en de mensen.

De moeilijkheid zit hem er in om de juiste relatie te leggen tussen die processen en informatiesystemen. Lukt ons dat dan kunnen we het beheer van die informatiesystemen die een belangrijke bijdrage leveren als eerste professionaliseren. De beschikbaarheid van deze systemen moeten gegarandeerd worden omdat bij uitval van dat systeem we daar last van ondervinden. Maar hoe snel ondervinden we er last van? Dat is een van de vragen die van belang is voor de inspanningen die we moeten verrichten.

Kan een proces 1 minuut, 1 uur, 1 dag, 1 week of 1 maand uit de lucht zijn? Wanneer ondervinden onze klanten (want daar doen we het voor, toch?) er last van en hoe lang duurt het voordat zij overstappen naar onze concurrent? Afhankelijk van het antwoord op die vraag nemen we een juiste set aan maatregelen om de kritische bedrijfsprocessen en informatiesystemen te beheersen. Daarbij moeten we kijken naar de gehele keten en ervoor zorgen dat alle onderdelen van die keten aan de gestelde beschikbaarheidseisen kunnen voldoen. De keten is zo zwak als de zwakste schakel, dat geldt net zo goed voor de continuïteit van de bedrijfsprocessen en de onderliggende informatiesystemen.

Het daadwerkelijke onderhoud van informatiesystemen

  door

Gingen we gisteren in op het systeem (of eigenlijk met name de keuzes en de achtergronden) bij het onderhouden van de informatiesystemen. Vandaag gaan we kort in op het daadwerkelijke onderhoud.

Daarom de vraag:
Vindt onderhoud conform dit onderhoudssysteem periodiek plaats?

Leuk hoor dat we er inderdaad voor gekozen hebben dat we voor dit specifieke systeem onderhoud willen hebben. Dat ligt vast in de SLA met de leverancier en daarbij bood hij ons de keus tussen brons, zilver of goud…waarbij wij natuurlijk voor goud zijn gegaan. Nu nog zorgen dat dat onderhoud ook echt plaats gaat vinden en dat het middel niet erger gaat worden dan de kwaal.

We moeten er dus voor gaan zorgen dat we het onderhoud periodiek en gepland plaats laten vinden om zo de kans op uitval van het systeem te verminderen. Soms zullen we preventief alvast onderdelen moeten vervangen die aan het eind van hun Latijn lijken te zijn. De remblokken van de auto vervangen we, hopelijk, ook al voordat ze echt op zijn.

Toch een kanttekening bij het onderhoud. We moeten er voor waken dat het onderhoud er niet voor zorgt dat het systeem “in storing” staat gedurende de reguliere werktijden omdat we zo nodig even iets moeten onderhouden volgens de planning. Je wilt ook je CV-ketel thuis niet in onderhoud zetten als je vrouw net onder de douche springt (of, misschien wil jij dat juist wel…maar het gaat om het voorbeeld). Juist door het plannen kunnen we dit voorkomen, is er niet binnenkort een onderhoudsweekend gepland? Mooie gelegenheid om ook het onderhoud voor ons systeem uit te voeren, toch?

Ok, we kunnen echt niet alle storingen voorkomen, het kan altijd een keer gebeuren dat een component de geest geeft. Wel kunnen we proberen met onderhoud de kans op storing te minimaliseren, de technische levensduur en omzet te maximaliseren en de werking van de bedrijfsprocessen te continueren.

Zeurt de boekhouding of inkoopafdeling over de kosten voor onderhoud? Reken dan even voor wat uitval kost in de vorm van misgelopen omzet en wat het oplevert als we het systeem een paar jaar langer operationeel kunnen houden. Grote kans dat je de business case rond krijgt en inderdaad besluit dat voor “goud” (of zilver of brons) gaan in dit geval grote besparingen kan realiseren…de kosten gaan echter nog steeds voor de baten uit.

Het systeem voor onderhoud van informatiesystemen

  door

Zo, dat fantastisch mooie, nieuwe, supersnelle netwerkcomponent is aangeschaft en voorlopig zitten we er weer goed bij, toch? Afschrijving van dat systeem in 5 jaar, dus voorlopig hebben we er geen omkijken naar, toch? Onderhoud van het nieuwe component was optioneel bij de aanschaf, dus daar hebben we flink op kunnen bezuinigen, toch?

Als het gaat om onderhoud van de informatiesystemen dan moeten we verder kijken dan de neus lang is. We moeten niet alleen kijken naar de economische levensduur maar juist ook naar de technische levensduur (die wellicht vele malen belangrijker is). Gelukkig kunnen we met goed onderhoud die technische levensduur flink verlengen (en op de lange termijn dus flink wat geld verdienen). Maar goed, eerst maar even de vraag:

Is er een systeem voor het onderhoud van informatiesystemen, netwerkcomponenten en IT-middelen?

Je hebt het voorbeeld vast wel eens gehoord: het aanschaffen van een Rolls Royce is een ding, het onderhouden daarvan een ander. Dat was in het verleden, naar horen zeggen, ook de reden dat de prijzen nou niet echt overzichtelijk waren. Als je naar de prijs moest vragen dan kon je het niet betalen. As simple as that.

Trekken we de parallel naar het onderhoud van de informatiesystemen dan geldt daarvoor in enige mate hetzelfde. Het aanschaffen is een, maar het onderhouden is twee. Hoe vaak zien we niet dat de systemen weg staan te stoffen? De schoonmaker mag zeker niet in de serverruimte komen want wie weet wat die daar stuk kan maken (ja ja, ik weet het onderhoud is niet gelijk aan schoonmaak, maar we trokken een parallel, weet je nog?).

Onderhoud is niet goedkoop en kan al snel oplopen tot 20% van de aanschafprijs. Het voordeel is wel dat we daarmee de levensduur van het systeem kunnen verlengen en wat is er nou mooier dan een systeem te hebben dat de economische levensduur in technische zin overleeft.

Overigens moeten we met onderhoud ook weer niet doorschieten. Sommige systemen willen we helemaal niet onderhouden…we leven in een weggooimaatschappij, toch? Wie doet er nu nog 5 jaar met zijn smartphone of laptop? Willen we daar dan enorme onderhoudskosten voor dragen of accepteren we dat het vaak goed gaat en we zo af en toe een laptop wat eerder moeten vervangen?

Nee, bij onderhoud kijken we enerzijds naar de economische aspecten, maar we kijken natuurlijk juist ook naar hoe kritiek het systeem is. Welke kritische bedrijfsprocessen zijn afhankelijk van het systeem en hoe lang mogen die uit de lucht zijn voordat de klanten beginnen te piepen…of we omzet mislopen?

Kortom: ook bij onderhoud van de informatiesystemen is een kosten/baten en impact analyse noodzakelijk. Doen we dat op de juiste wijze dan kunnen we het onderhoudssysteem afstemmen op de bedrijfsvoering en besteden we alleen onderhoudskosten aan die systemen waarvoor we dat noodzakelijk vinden.

Risicoanalyses voor de informatiesystemen

  door

Zoals we gisteren hebben kunnen zien bepalen de beschikbaarheid, integriteit en exclusiviteit van de verschillende componenten de eisen die we kunnen stellen aan de informatievoorziening. Daarbij moeten we niet vergeten dat de componenten op elkaar inwerken en met elkaar samenhangen. Een losstaand component zegt (in de meeste gevallen) niet zoveel omdat hij van andere componenten gebruik maakt om de informatie daadwerkelijk af te leveren.

Het zal dan ook niet echt een verrassing zijn dat we nu gaan kijken naar de samenhang. We stellen onszelf de vraag:

Worden er risicoanalyses (afhankelijkheid en kwetsbaarheid) uitgevoerd voor de informatiesystemen?

De afhankelijkheids- en kwetsbaarheidsanalyse staat beter bekend als de A&K-analyse. Zonder specifiek in te willen gaan op de A&K-analyse kunnen we ook gebruik maken van CRAMM, FIRM, SPRINT of wat mij betreft iedere andere methode. Het gaat er om dat we op basis van de eisen voor de beschikbaarheid, integriteit en exclusiviteit gaan kijken naar de mogelijke risico’s die die eisen in gevaar kunnen brengen.

We zijn al eerder ingegaan op risicoanalyse en risicomanagement en hiervoor geldt hetzelfde alleen is de scope van onze analyse anders. We moeten de oorzaken en gevolgen niet door elkaar halen en proberen om een reële inschatting te maken. Als we die inschatting hebben gemaakt kunnen we bepalen of we een risico willen accepteren, willen mitigeren of willen overdragen aan een ander (voorkomen kan natuurlijk ook, maar dat heeft implicaties voor de informatievoorziening en daarvoor is een keuze op een ander managementniveau noodzakelijk).

Als het goed is hebben we eerder al risicoanalyses gemaakt voor de totale organisatie, daar passen de risicoanalyses (ja, meervoud, het zijn er meer) bij. Net als we risicoanalyses kunnen en zouden moeten maken voor de assets en de medewerkers. Een totaal pakket aan risicoanalyses waarmee de organisatie leert om te gaan denken in operationele risico’s en minder in beveiligingsmaatregelen.

Het klinkt misschien allemaal erg zwaar en als een hele berg papier. Dat kan maar is helemaal niet nodig. Er kan ook op een pragmatische wijze mee worden omgegaan. Veel papier, dikke informatiebeveiligingsplannen zijn nooit het doel maar zijn (eventueel) een middel om de beveiligingsdoelstellingen te bereiken. En als dat netjes op 1 A4-tje past, dan heeft dat absoluut de voorkeur.

Eisen ten aanzien van de onderliggende informatiesystemen

  door

Zoals we eerder al gezien hebben, wordt de informatievoorziening ondersteund door de informatiesystemen. Stellen we eisen aan de beschikbaarheid, integriteit en exclusiviteit van de informatievoorziening dan moeten de onderliggende componenten er bij elkaar voor zorgen dat we die eisen ook gaan realiseren. Ook hier geldt weer dat de keten zo zwak is als de zwakste schakel. Het “zwakste” systeem bepaald dan uiteindelijk ook de totale beschikbaarheid, integriteit en exclusiviteit van de totale informatievoorziening.

Logischerwijs moeten we onszelf dan ook nog de volgende vraag stellen:

Zijn de eisen ten aanzien van de waarborging van de beschikbaarheid, exclusiviteit en integriteit geformuleerd voor de onderliggende informatiesystemen, netwerkcomponenten en IT-middelen?

De informatievoorziening bestaat uit allerlei componenten die er gezamenlijk voor moeten zorgen dat de informatie beschikbaar is op het moment dat we die nodig hebben, dat de informatie dan actueel en correct is en dat niet iedereen zomaar bij die informatie kan. Op component niveau zullen we die eisen dus door moeten vertalen naar de onderliggende systemen.

Als we dat willen doen, zullen we dus eerst zicht moeten hebben op welke componenten welk deel van de informatievoorziening ondersteunen. Het lukraak stellen van eisen aan componenten heeft weinig zin omdat we naar het grotere geheel moeten kijken.

Redeneren we weer vanuit de kritische bedrijfsprocessen dan komen we tot de kritische informatievoorziening die daarvoor noodzakelijk is en komen we uit bij de kritische componenten die daar invulling aan geven.

Zitten we met een component dat een lage beschikbaarheid, integriteit of exclusiviteit kan geven dan geldt dat niveau voor de gehele informatievoorziening. Of we moeten natuurlijk bereid zijn dat legacy systeem inmiddels te vervangen door een actueel systeem dat wel past binnen de door ons gestelde eisen.

Veelal zijn er allerlei architectuur en infrastructuur plaatjes binnen de organisatie aanwezig. Daar kunnen we goed gebruik van maken waarbij we nog wel de doorvertaling naar de processen moeten maken. Welk deel van die infrastructuur ondersteunt welk deel van de bedrijfsprocessen. Geen gemakkelijke opgave, maar wel een belangrijke exercitie om de doelstellingen van de organisatie te kunnen bereiken.

De kritische informatiesystemen

  door

Gisteren hadden we het al over de kritische bedrijfsprocessen die ons uitgangspunt moeten zijn voor de aanpak van informatiebeveiliging. Daarbij zijn we ook ingegaan op de ondersteunende middelen: informatie, assets en personeel. We zagen daarbij ook dat we onderscheid maken tussen de geautomatiseerde en de niet geautomatiseerde data. Daar sluit de volgende vraag mooi bij aan:

Zijn de kritische informatiesystemen van de organisatie inzichtelijk?

Het is zeker niet mijn bedoeling om hier een wetenschappelijk of semi-wetenschappelijk blog van te maken, maar vandaag gooien we maar even de knuppel in het hoenderhok: kritische informatiesystemen staat niet gelijk aan de informatietechnologie die we daar voor inzetten. Computers, laptops, netwerken en ga zo maar door zijn wel een belangrijk aspect, maar we moeten onderscheid maken.

Het is wel belangrijk om een onderscheid te kunnen maken (nogmaals: zonder semi-wetenschappelijk te worden), laten we uitgaan van de informatievoorziening, de informatiesystemen en de informatietechnologie. Dat is een indeling die we goed kunnen gebruiken zonder dat het al te ingewikkeld wordt.

Voor het gemak kopieer ik even de informatie uit Wikipedia:

  • De informatievoorziening van een organisatie is het geheel van mensen, middelen en maatregelen, gericht op de informatiebehoefte van die organisatie. De informatiebehoefte van een organisatie is drieledig:
  1. Operationele informatie, voor het verrichten van de feitelijke handelingen en het beheersen van de bedrijfsprocessen;
  2. Besturingsinformatie, voor de besturing van de organisatie;
  3. Verantwoordingsinformatie, informatie over verrichting en besturing.
  • Een informatiesysteem is gericht op de ondersteuning -met informatievoorziening en gegevensverwerking- van de bedrijfsprocessen van de klant.
  • Onder informatietechnologie worden hardware-, softwareproducten en diensten verstaan.

Hieruit kunnen we afleiden dat de informatiebeveiliging op zowel strategisch, tactisch en operationeel niveau zo in moeten richten dat het een logisch geheel vormt. Geen bottom-up benadering waarbij we maar wat doen maar een top-down benadering waar we kijken naar de strategie van de organisatie, die vertaald is in doelstellingen en waarvoor informatievoorziening noodzakelijk is. Voor die informatievoorziening gebruiken we vervolgens informatiesystemen en informatietechnologie.

Niet het inzetten van een firewall (informatietechnologie) dus omdat het een firewall is, maar omdat het de informatiesystemen kan beschermen die we nodig hebben om de operationele, besturings- en verantwoordingsinformatie beschikbaar te stellen aan het hoger management.

Dat hoger management is geïnteresseerd in hoe goed die informatievoorziening is. Hoe betrouwbaar is de informatie en krijgen ze de gegevens aangeleverd wanneer ze ze nodig hebben (beschikbaarheid)? Dat we daarvoor een firewall nodig hebben is voor hen minder van belang. Het moet gewoon werken en daar worden wij voor betaald.

Voor nu stoppen we er mee, hopelijk morgen een iets luchtiger onderwerp.