Eisen ten aanzien van de informatievoorziening

Inmiddels zijn we aangekomen bij het punt waar we wat dieper ingaan op de beveiliging van de geautomatiseerde gegevensverwerking. Zoals we inmiddels al gezien hebben is dat een ondersteunend middel aan het bereiken van de doelstellingen van de organisatie. Daarom houden we de strategie van de organisatie en de doelstellingen waarmee we die strategie gaan bereiken in het achterhoofd en stellen onszelf de volgende vraag:

Zijn de eisen ten aanzien van de waarborging van de beschikbaarheid, exclusiviteit en integriteit geformuleerd voor de informatievoorziening?

Laten we even aftrappen met de definities uit Wikipedia die behoren bij de begrippen beschikbaarheid, exclusiviteit en integriteit:

  • Beschikbaarheid bevat de garanties voor het afgesproken niveau van dienstverlening gericht op de beschikbaarheid van de dienst op de afgesproken momenten (bedrijfsduur, waarbij rekening wordt gehouden met uitvalstijden, storingen en incidenten). Kenmerken van beschikbaarheid zijn tijdigheid, continuïteit en robuustheid.
  • Integriteit geeft de mate aan waarin de informatie actueel en correct is. Kenmerken zijn juistheid, volledigheid en geautoriseerdheid van de transacties.
  • Vertrouwelijkheid is het kwaliteitsbegrip waaronder privacybescherming maar ook de exclusiviteit van informatie gevangen kan worden. Het waarborgt dat alleen geautoriseerden toegang krijgen en dat informatie niet kan uitlekken.

Simpel gesteld moeten we dus kijken naar het feit of de informatie beschikbaar is op het moment dat we die nodig hebben, dat de informatie die we dan willen gebruiken actueel en correct is en willen we zeker stellen dat alleen die mensen die dat mogen ook daadwerkelijk de informatie in kunnen zien.

Hoe hoger we de eisen ten aanzien van de informatievoorziening stellen, hoe meer beveiligingsmaatregelen we in de regel nemen en hoe meer kosten dat met zich mee brengt. Inmiddels hebben we in een eerder stadium ook al gezien dat we rekening moeten houden met de bedrijfsprocessen en dan met name diegene die kritisch zijn voor het voortbestaan van onze organisatie.

De hele kunst bij het stellen van deze eisen is om ze niet te hoog, maar zeker ook niet te laag te stellen. Daarbij komt het gezond boeren verstand weer om de hoek kijken. Stellen we de eisen immers te hoog dan brengt dat enorme kosten met zich mee (en wordt het werken voor de medewerkers meestal ernstig belemmerd), stellen we te lage eisen dan nemen de risico’s toe en deze passen wellicht niet binnen het risicogedrag dat we eerder bepaald hebben.

Hoewel de eisen in samenhang dienen te worden bezien, zien we in de praktijk veelal dat de eis voor beschikbaarheid concreet (of noem het SMART) wordt gesteld en dat de rest er in kwalitatieve zin om heen hangt. Op zich begrijpelijk, want de beschikbaarheid is ook makkelijker meetbaar te maken dan de integriteit en de exclusiviteit. Toch zouden we daar ook de controles op uit moeten voeren.

Voor organisaties die de informatievoorziening hebben uitbesteed, geldt dat de eisen ten aanzien van de beschikbaarheid, integriteit en exclusiviteit in de Service Level Agreement moeten worden opgenomen, dat de leverancier daar verantwoording over af moet leggen en dat we dat met de audits kunnen controleren. Dit grijpt dan uiteraard weer terug op het borgen van de beveiliging door het in de keten op te nemen.

De kritische informatiesystemen

Gisteren hadden we het al over de kritische bedrijfsprocessen die ons uitgangspunt moeten zijn voor de aanpak van informatiebeveiliging. Daarbij zijn we ook ingegaan op de ondersteunende middelen: informatie, assets en personeel. We zagen daarbij ook dat we onderscheid maken tussen de geautomatiseerde en de niet geautomatiseerde data. Daar sluit de volgende vraag mooi bij aan:

Zijn de kritische informatiesystemen van de organisatie inzichtelijk?

Het is zeker niet mijn bedoeling om hier een wetenschappelijk of semi-wetenschappelijk blog van te maken, maar vandaag gooien we maar even de knuppel in het hoenderhok: kritische informatiesystemen staat niet gelijk aan de informatietechnologie die we daar voor inzetten. Computers, laptops, netwerken en ga zo maar door zijn wel een belangrijk aspect, maar we moeten onderscheid maken.

Het is wel belangrijk om een onderscheid te kunnen maken (nogmaals: zonder semi-wetenschappelijk te worden), laten we uitgaan van de informatievoorziening, de informatiesystemen en de informatietechnologie. Dat is een indeling die we goed kunnen gebruiken zonder dat het al te ingewikkeld wordt.

Voor het gemak kopieer ik even de informatie uit Wikipedia:

  • De informatievoorziening van een organisatie is het geheel van mensen, middelen en maatregelen, gericht op de informatiebehoefte van die organisatie. De informatiebehoefte van een organisatie is drieledig:
  1. Operationele informatie, voor het verrichten van de feitelijke handelingen en het beheersen van de bedrijfsprocessen;
  2. Besturingsinformatie, voor de besturing van de organisatie;
  3. Verantwoordingsinformatie, informatie over verrichting en besturing.
  • Een informatiesysteem is gericht op de ondersteuning -met informatievoorziening en gegevensverwerking- van de bedrijfsprocessen van de klant.
  • Onder informatietechnologie worden hardware-, softwareproducten en diensten verstaan.

Hieruit kunnen we afleiden dat de informatiebeveiliging op zowel strategisch, tactisch en operationeel niveau zo in moeten richten dat het een logisch geheel vormt. Geen bottom-up benadering waarbij we maar wat doen maar een top-down benadering waar we kijken naar de strategie van de organisatie, die vertaald is in doelstellingen en waarvoor informatievoorziening noodzakelijk is. Voor die informatievoorziening gebruiken we vervolgens informatiesystemen en informatietechnologie.

Niet het inzetten van een firewall (informatietechnologie) dus omdat het een firewall is, maar omdat het de informatiesystemen kan beschermen die we nodig hebben om de operationele, besturings- en verantwoordingsinformatie beschikbaar te stellen aan het hoger management.

Dat hoger management is geïnteresseerd in hoe goed die informatievoorziening is. Hoe betrouwbaar is de informatie en krijgen ze de gegevens aangeleverd wanneer ze ze nodig hebben (beschikbaarheid)? Dat we daarvoor een firewall nodig hebben is voor hen minder van belang. Het moet gewoon werken en daar worden wij voor betaald.

Voor nu stoppen we er mee, hopelijk morgen een iets luchtiger onderwerp.