Tag: organisatorische

CFO’s bang voor reputatieschade door cybercrime

  door

Na het bericht over het aanstellen van CISO’s in grote bedrijven en het feit dat wij, als informatiebeveiligers, ons best moeten doen om aansluiting te vinden bij het top management van de organisatie gaan we daar vandaag verder op in.

Nederlandse CFO’s geven de computerbeveiliging van hun bedrijf gemiddeld een 6,8. Dat blijkt uit onderzoek van Deloitte. CFO’s zijn vooral bang voor reputatieschade, als hun bedrijf ten prooi valt aan cybercrime (bron).

Dit bericht bevestigd waar we het al vaker, veel vaker, over hebben gehad. Het gaat het management helemaal niet om de technische of de informatiebeveiligingsrisico’s. Nee, het gaat het top management om kosten, omzet en imago. Blijkbaar worden de CFO’s met name getriggerd door het imago van de organisatie.

Bij onze volgende risico analyse moeten we dus extra aandacht besteden aan het risico voor ons imago. Prima dat we duidelijk willen maken dat onze firewall echt niet meer kan en dat we daarmee grote risico’s lopen. Maar leg dan ook uit dat we het risico lopen dat klantgegevens op grote schaal op straat komen. De CFO kan dan zelf wel bedenken dat hij dit een onacceptabel risico voor de organisatie vindt.

Bekijken het we zo en houden we in ons achterhoofd dat veel organisaties geen CISO hebben, dan moeten er misschien voor zorgen dat de CFO onze grootste sponsor wordt. Een 6,8 klinkt als een voldoende maar is dat misschien voor jouw organisatie helemaal niet. En ja, dat cijfer is arbitrair maar kan ons ook helpen om daadwerkelijk meer aan beveiliging te gaan doen.

Maar laten we dan ook terug vallen op het feit dat het niet alleen gaat om technische maatregelen. Nee, we maken duidelijk welke risico’s we lopen (voor het imago) maar we geven ook duidelijk aan met welke combinatie van technische, organisatorische en procedurele maatregelen we dat risico naar een acceptabel niveau kunnen brengen.

De komende jaren hebben we echt de kans om informatiebeveiliging naar de volgende volwassenheidsfase te laten groeien. Aan ons de keus of we die kans voorbij laten gaan of met beide handen aanpakken.

Nederland mist urgentie in aanpak cyberdreiging

  door

Het niet nemen van bekende basismaatregelen is de grootste bedreiging voor de cyberveiligheid van Nederland. Dat meldt het Cybersecuritybeeld 2011 van het Nationaal Cyber Security Center (bron).

Hoe meer we ons verdiepen in beveiliging, hoe ingewikkelder onze aanpak wordt. We kiezen voor allerlei technisch hoogstaande maatregelen die ons moeten helpen bij het beter beveiliging van onze organisatie. Prima, uitstekend…maar niet voordat we de basis goed geregeld hebben en niet voordat we daadwerkelijk begrijpen dat het gaat om de juiste combinatie van technische, organisatorische en procedurele maatregelen.

Er lopen op dit moment zeer veel initiatieven binnen bedrijven om de beveiliging te verbeteren. In het verleden hebben we een beetje teveel bezuinigd op informatiebeveiliging, dus die achterstand moeten we maar snel inhalen met de nieuwste technische snufjes.

Toch zien we dat organisaties vergeten om even afstand te nemen van hun huidige situatie en situatie die ze uiteindelijk willen bereiken. Zouden organisaties wel de tijd nemen om hun beveiligingsstrategie goed uit te denken dan zou dat niet alleen heel veel geld schelen maar zou er ook nog eens voor zorgen dat de beveiliging vele malen beter wordt.

Het is geen kunst om honderduizenden euro’s in beveiliging te stoppen. Het is wel een kunst om met zo min mogelijk maatregelen een zo goed mogelijk niveau van beveiliging te bereiken. Daarvoor grijpen we niet naar maatregelen maar redeneren we vanuit de risico’s. Weten we die risico’s (en de kans en impact) dan kunnen we bepalen welke risico’s we accepteren en voor welke risico’s we maatregelen willen nemen.

En voor die risico’s waarvoor we besluiten om maatregelen te nemen komen we dan weer terug bij de juiste combinatie van technische, organisatorische en procedurele maatregelen.

Helaas allemaal een utopie. In de praktijk hebben we het gevoel dat we risico’s lopen. Welke dat zijn weten we eigenlijk niet maar de nieuwste technische snufjes moeten ons helpen. Zo gaat het niet werken en zijn we de komende jaren misschien wel bezig om achterstallig onderhoud op het gebied van informatiebeveiliging weg te werken…maar veel veiliger zullen we daar helaas niet door worden.

Definieren en afbakenen van beveiligde ruimtes

  door

Na de keuzes over toegangscontrole en het inrichten van het autorisatieproces komen we bij het definiëren en afbakenen van beveiligde ruimtes.

De vraag die hier natuurlijk bijhoort is:
Zijn de fysiek te beveiligen ruimtes in het gebouw duidelijk gedefinieerd, gekenmerkt en afgebakend?

Fysieke beveiliging kunnen we zien als een ui, een ui met verschillende lagen. Dat geldt overigens niet alleen voor fysieke beveiliging, maar ook voor informatiebeveiliging (alleen zijn dan de schillen wat digitaler en dus voor velen minder concreet te benoemen).

Compartimentering kunnen we doen vanuit verschillende optieken. Namelijk vanuit brandveiligheid (brandwerende muren, verschil tussen kantoor, magazijn en werkplaats) maar hier gaat het uit van de fysieke beveiliging. Daarom hanteren de voor onze compartimenten de volgende te onderscheiden gebieden (er zijn verschillende benamingen, maar het gaat om het principe): openbare ruimte, eigen terrein, bezoekersruimte, kantoorruimte, beveiligde ruimte, kritische ruimte en daarbinnen eventueel nog kluizen en waardekasten.

We kunnen simpelweg een plattegrond van het gebouw nemen en daar de verschillende ruimtes op aangeven. Daarbij stellen we de vraag over welke ruimtes we invloed uit kunnen oefenen. Op de openbare ruimtes kunnen we dat niet (of we moeten er een vergunning voor hebben). Op ons eigen terrein kunnen we al weer iets meer en onze algemene receptie of bezoekersruimte moeten minimaal door bezoekers kunnen worden betreden.

Daarna mogen we zelf bedenken wie tot welke ruimte toegang heeft of zou moeten hebben. De medewerkers mogen natuurlijk de ruimtes na de receptie betreden omdat ze anders hun werk niet kunnen doen. Daarbij kun je je natuurlijk wel afvragen of iedere medewerker tot iedere afdeling toegang moet hebben.

Vervolgens gaan we door naar de beveiligde ruimtes en de kritische ruimtes. Afhankelijk van de aard van de organisatie kunnen we die samenvoegen of juist nog verder detailleren. Een serverruimte zal al snel kritiek zijn, de ruimtes waar de waardevolle zaken staan kunnen dat ook zijn maar kun je wellicht ook tot de beveiligde ruimtes rekenen. Het zijn keuzes die we moeten maken, zo simpel is het in weze.

Pakken we de plattegrond er nog eens bij waar we de verschillende ruimtes op hebben aangegeven dan kunnen we daarna bepalen welke organisatorische, bouwkundige en elektronische maatregelen we voor de verschillende ruimtes toe willen passen.

Zo kan het zijn dat we voor de serverruimte kiezen voor een extra toegangscontrolesysteem (elektronisch of de sleutel in bewaring geven, dat kan natuurlijk ook nog steeds). Ook kunnen we ervoor kiezen in die ruimte early smoke detection toe te passen en we installeren een computervloer voor als we kans op waterschade lopen.

Door concreet op de plattegronden te tekenen zien we al snel welke maatregelen we waar hebben genomen en hoe dat nog matched met de risicoanalyses die we eerder al eens gedaan hebben. Vervolgens vragen we ons met gezondboerenverstand af hoe lang een gemiddelde crimineel er over zal doen om onze schillen te doorbreken.

We gaan dus uit van de risico’s die we lopen en die we willen beveiligen. De daderprofielen komen hier om de hoek en we bedenken waar we ons tegen willen beveiligen. Is dat tegen een gelegenheidsdader met een steen om de ruiten in te gooien of beschermen we ons tegen de professional die ons gebouw met een thermische lans bewerkt? Alles daar tussenin is natuurlijk ook mogelijk.

Ook over compartimentering is veel te schrijven en uiteindelijk gaat het er om een evenwicht te vinden tussen de risico’s die we lopen en de maatregelen die we treffen. De praktijk wijst uit dat het werken met plattegronden nog wel eens tot hernieuwde inzichten leidt. Een aanrader dus, die we tot het low hanging fruit mogen rekenen.

Beveiligingsplannen voor locaties

  door

Eerder hebben we al kunnen lezen dat er meer onder de zon is dan brandmelders en brandblussers om brand te voorkomen. Naast brand zijn er natuurlijk nog vele andere fysieke beveiligingsrisico’s die we willen beheersen. Denk alleen maar aan overstroming, inbraak, ramkraak, aardbevingen en ga zo maar door. Voor alle risico’s die we onderkennen zullen we de mogelijke oorzaken moeten achterhalen op basis waarvan we de beveiligingsmaatregelen kunnen bepalen om ze te beheersen. Deze organisatorische, bouwkundige en elektronische beveiligingsmaatregelen (de wellicht bekende OBE-mix uit de Haagse methode) moeten we vastleggen.

De vraag die daarbij hoort is:
Zijn, naar aanleiding van de risicoanalyse, de te nemen beveiligingsmaatregelen vastgelegd in een beveiligingsplan?

We hebben nu inmiddels zicht op de locaties, de kritische processen in die locaties en de bedreigingen die ons mogelijk uit het veld kunnen slaan in de vorm van risicoanalyses. Waarschijnlijk beschikken we over een pak papier waar we iets mee moeten. We kunnen per gebouw een dossier aanleggen op basis waarvan we een beveiligingsplan maken voor dat specifieke gebouw.

Hoe zo’n plan er exact uitziet kan per organisatie verschillen. Willen we toch liever een vaste en meer bekende standaard dan kunnen we zeker kiezen voor de Haagse methode. De uitkomsten hiervan zijn voor leveranciers van beveiligingsmaatregelen bekende materie en het kan een berg miscommunicatie voorkomen. Kies je toch liever voor een eigen methode dan ben je daar natuurlijk geheel vrij in.

Welke methode je ook kiest, van belang is wel dat de beveiligingsmaatregelen die je neemt vastliggen in een plan. Dat plan zal initieel meer tijd kosten maar na verloop van tijd is het een kwestie van bijhouden, of in andere woorden: periodieke evaluatie en bijstelling.

Het doel is natuurlijk niet een kast vol met plannen waar het stof mooi op kan gaan liggen. Het doel is om inzicht te verkrijgen in de risico’s en de maatregelen die we daartegen genomen hebben. Leuk dat wij van alles verzinnen, maar het is ook handig als we de kennis kunnen delen en er verantwoording over af kunnen leggen.

Niet, onder het mom van het is geheim, in het eigen brein houden dus, die risicoanalyses en beveiligingsplannen, maar gewoon inzichtelijk maken. Daarbij zullen we natuurlijk zien dat het ons de eerste keer best wat moeite zal kosten allemaal, maar vooral de hoop niet verliezen. Als we eenmaal het achterstallig onderhoud op plan gebied achter ons hebben gelaten wordt het allemaal eenvoudiger. We zullen door de volwassenheidsfases heen gaan en “in control” komen op het gebied van fysieke beveiliging.

Niet makkelijk, wel belangrijk. Wacht niet te lang met het opstarten van de risicoanalyses en het vastleggen van de plannen. De bedreigingen gaan echt niet wachten tot wij klaar zijn met de plannen en voordat we het weten worden we verrast door de gevolgen van bedreigingen die we niet onderkend hadden of die we niet inzichtelijk hebben gemaakt…en dat mag het management ons wel kwalijk nemen.