Verander risico: Te laat beschikbaar komen van middelen

Vandaag gaan we in op het risico: Te laat beschikbaar komen van middelen

Niet alleen te weinig middelen brengen de tijdslijnen in gevaar maar ook het te laat beschikbaar komen van die middelen. Als we pas later in het project de nodige middelen ter beschikking krijgen dan lopen we vanaf het eerste moment achter de feiten aan. We lopen direct achter op de schema’s en als de middelen beschikbaar komen dan moeten we allerlei kunststukjes uithalen om deze zo goed mogelijk in het project in te passen.

Stel dat we informatie nodig hebben voor ons project maar die informatie is niet beschikbaar of is beschikbaar in een formaat waar we niet zoveel mee kunnen. We gaan gewoon door met ons project maar de informatie ontbreekt. Als we dan management rapportages op moeten leveren dan is die niet volledig. Zodra de informatie beschikbaar komt moeten we onze rapportage structuren aanpassen en moeten we het management uitleggen dat de informatie afwijkt van het verleden maar wel een stuk betrouwbaarder en vollediger is geworden.

Kritische assets en middelen

Inmiddels hebben we het gehad over de kritische informatie en de kritische afdelingen en medewerkers. Zoals eerder aangegeven worden processen ondersteund door die informatie en dat personeel, maar de assets of middelen mogen we ook niet vergeten tegen het licht te houden. De volgende vraag die we stellen zal je inmiddels niet meer verrassen:

Zijn de kritische assets en middelen van de organisatie inzichtelijk?

Kritische assets en middelen. Daar valt eigenlijk alles onder wat we niet konden vatten onder de informatie (geautomatiseerd of niet) en het personeel. Het kunnen dus zijn de gebouwen waar we in gehuisvest zijn, de robotstraat die de producten maakt maar ook bijvoorbeeld de hardware (pc’s, laptops, servers, etc.).

Het hangt helemaal af van de organisatie en de aard van die organisatie over hoeveel kritische assets en middelen beschikken. De ene locatie zal een grotere impact hebben op ons voortbestaan dan de ander. Kijk ook goed naar waar de informatie is opgeslagen, hebben we die uitbesteed of beheren we ons eigen data center?

Een kleine organisatie in de dienstverlening zal misschien snel door kunnen werken na een brand omdat iedereen beschik over een laptop en de data is ondergebracht in een goed beveiligd data center. Een grotere organisatie die zelf een data center beheert heeft wellicht meer problemen bij het uitbranden van dat data center.

Bij het beveiligen van de kritische assets en middelen komen we misschien al meer terecht op het gebied van de fysieke beveiliging. Maar dat heeft alles te maken met de definitie die we er aan koppelen. Wij maken liever geen onderscheid en benaderen de aanpak integraal. We kunnen immers de firewall wel dichtzetten met inlognaam en wachtwoord maar als er een crimineel met een hamer de firewall aan gort slaat dan hebben we toch echt problemen.

Dit is ook de gedachte achter de filosofie dat we niet zozeer naar de maatregelen moeten kijken maar dat we de risico’s als uitgangspunt moeten nemen. Als het risico is: uitval van de firewall, dan moeten we goed kijken wat daar de mogelijke oorzaken van kunnen zijn. Denk bijvoorbeeld aan een hack poging van buiten af of een crimineel die inbreekt en de firewall steelt. In beide gevallen kan het gevolg uitval van de firewall zijn terwijl de oorzaken en dus de maatregelen totaal anders kunnen zijn.

Hoe meer we doen aan informatiebeveiliging hoe groter de kans wordt dat een aanvaller voor de makkelijkere weg kiest. Informatiebeveiliging en fysieke beveiliging moeten elkaar dan ook ondersteunen en met elkaar in evenwicht zijn. Ook hier geldt: de keten is zo zwak als de zwakste schakel. Een superieure aanpak van informatiebeveiliging met een zeer zwakke fysieke beveiliging lost het probleem niet op…of anders gezegd: dekt het risico niet voldoende af.