Tag: processen

Een overzicht van locaties

  door

Het moet toch allemaal niet gekker worden, zul je wellicht denken. Natuurlijk beschikken we als organisatie over een overzicht van locaties, toch? Hoewel dat met alle verhuizingen voor veel organisaties nog te bezien valt, gaat het hier niet zo zeer om. Nee, laten we er vanuit gaan dat er inderdaad een actueel overzicht met adresgegevens is. Maar weten we ook welke activiteiten en processen zich in welk gebouw afspelen? Weten we welke kritische systemen in welke gebouwen zijn onder gebracht? Weten we welke locaties kritisch zijn voor het voortbestaan van onze organisatie?

De vraag is daarom:
Is er een overzicht van alle locaties waar (kritische) bedrijfsprocessen plaatsvinden, waar informatiesystemen zijn gesitueerd en waar personeel werkzaam is?

Hoe groter de organisatie, hoe meer locaties we ter beschikking hebben. Het nieuwe werken brengt daar voorlopig (waarschijnlijk) nog weinig verandering in. Daarom willen we graag weten welke bedrijfsprocessen, informatiesystemen en afdelingen in welke gebouwen gesitueerd zijn. We willen dus een soort van blauwdruk, we willen een “landkaart” waarop we onze high level risico’s gerichter in kunnen tekenen en gerichter beveiligingsmaatregelen toe kunnen passen.

Laten we dus eerst beginnen met de adresgegevens waarna we al snel overstappen op de plattegronden van de gebouwen. Op die plattegronden kunnen we in gaan tekenen hoe kritisch de verschillende gebouwen en ruimtes zijn en waar welke processen en systemen geplaatst zijn. Vervolgens kunnen we de beveiligingsmaatregelen (die we op basis van de bijbehorende risico’s bepaald hebben) gericht toe gaan passen.

Dat scheelt niet alleen een berg schijnveiligheid (omdat we nu de juiste maatregel op de juiste locatie kunnen implementeren) maar het scheelt ons ook nog eens een grote berg met geld. Die gebouwen die minder kritisch zijn hoeven ook minder zwaar beveiligd te worden (let op: ik schrijf niet minder goed, maar minder zwaar. Want alle gebouwen moeten goed beveiligd worden…in overeenstemming met de risico’s).

Nu we meer en meer zicht beginnen te krijgen op onze kritische gebouwen en onze kritische ruimtes in die gebouwen, kunnen we eens een rondje door die gebouwen doen. Bij die ronde letten we goed op de maatregelen die we al genomen hebben en we noteren het een en ander op de plattegronden. Hebben we het gebouw al langer in bezit en hebben we al vaker naar de fysieke beveiliging ervan gekeken dan zullen we wellicht constateren dat we wel de maatregelen hebben genomen maar dat de kritische processen zich inmiddels in een andere ruimte bevinden. Bij de verhuizing van die kritische processen en informatiesystemen zijn we de bijbehorende beveiligingsmaatregelen even vergeten.

Hebben we nog nooit een dergelijke ronde gelopen, dan is het zaak daar op korte termijn mee te beginnen. Uiteraard kijken we eerst naar de meest kritische gebouwen…de rest volgt daarna wel. Naar mate we meer en meer ervaring krijgen, zien we ook de tekortkomingen sneller. Na verloop van tijd weten we al hoe het gesteld is met de beveiliging zodra we een stap over de drempel hebben gezet.

Wordt het gebouw niet schoon gehouden? Hebben we een beetje achterstallig onderhoud omdat we in het verleden hebben moeten bezuinigen? Dan valt dat ons snel op. Vaak kunnen we met gezond boerenverstand al een heel eind komen, we kunnen het “low hanging fruit” plukken zodat de grootste risico’s zijn afgedekt.

Voor de basis van fysieke beveiliging kunnen we dus gewoon logisch nadenken, de grootste risico’s, het “low hanging fruit” pakken we zelf op. Als de processen en systemen erg kritisch zijn dan schakelen we natuurlijk een expert in om ons te ondersteunen. Wij leren daar dan weer van, de beveiliging wordt er beter van en de onacceptabele risico’s zijn beter afgedekt.

Informatiebeveiliging kan niet zonder fysieke beveiliging. Gelukkig dienen ze allebei hetzelfde doel: continuïteit van onze bedrijfsprocessen.

Beveiliging en de afstemming op de processen

  door

Inmiddels beginnen we steeds meer te denken aan het beschermen van de processen om de continuïteit van onze organisatie beter te borgen. We hebben inmiddels ook wel door dat het helemaal niet draait om allerlei technische beveiligingsmaatregelen als firewalls, anti-virus en intrusion detection. Nee, inmiddels weten we dat de keuzes die we maken draait om het verhogen van de omzet, het verlagen van de kosten en het beschermen van ons imago. Dat we daarvoor uiteindelijk allerlei beveiligingsmaatregelen moeten nemen geloven we wel en is meer een zaak van de IT- en Facility-afdeling.

Willen we de uitvoerende afdelingen hun werk goed kunnen laten doen dan moeten we op tactisch niveau de kaders stellen waarbinnen zij kunnen opereren. Daarom de volgende vraag:
Zijn de eisen ten aanzien van de waarborging van de beschikbaarheid, exclusiviteit en integriteit op processen (bedrijfsvoering) afgestemd?

Denken we aan continuïteit van de bedrijfsprocessen en informatiesystemen dan denken we al snel aan de beschikbaarheidseisen die de waaraan moeten stellen. Meestal drukken we die uit in percentages als 95%, 98% of 99,9% die we doorvertalen naar brons, zilver en goud, omdat de klant die percentages helemaal niet wil horen. De percentages kunnen we meten en de IT-afdeling kan daar mooi verantwoording over afleggen. Hoewel dit allemaal makkelijker gezegd is dan gedaan, is er nog niet echt iets nieuws onder de zon.

Maar naast de beschikbaarheid moeten we ook kijken naar de eisen die we stellen aan exclusiviteit en integriteit. Exclusiviteit gaat in op de wijze waarop we ervoor zorgen dat alleen geautoriseerde personen of systemen toegang krijgen tot de informatie, terwijl integriteit juist ingaat op de juistheid, volledigheid en tijdigheid van de informatie.

Stellen we geen of de verkeerde eisen aan de exclusiviteit dan kan dat ervoor zorgen dat de informatie door ongeautoriseerde personen benaderbaar is en onze informatie al snel op straat komt te liggen. We lopen hiermee het risico dat ons imago een flinke deuk oploopt.

Hebben we te weinig zicht op de integriteit van de informatie dan kan dat er bijvoorbeeld voor zorgen dat we verkeerde keuzes maken op basis van onbetrouwbare informatie. Dit kan ons veel omzet schelen maar kan ook voor enorme kosten zorgen. Verkeerde keuzes kunnen ook leiden tot imagoschade. Denk maar aan het geval waar een arts op basis van de verkeerde informatie het verkeerde been van een patiënt amputeert.

Willen we dus continuïteit van onze organisatie en haar bedrijfsprocessen dan stellen we beschikbaarheids-, exclusiviteits, en integriteitseisen aan de informatiesystemen. Daarbij laten we de kosten en baten weer meewegen want hoe meer maatregelen we nemen, hoe meer kosten dat met zich meebrengt en hoe moeilijker de medewerkers hun werk kunnen doen. De kunst is niet om lukraak de eisen te stellen maar juist om het optimum te vinden waarbij de eisen zo goed mogelijk aansluiten bij de missie van onze organisatie. Daarbij moeten we zeker in de gaten houden dat het allemaal wel werkbaar moet blijven omdat de medewerkers er anders omheen gaan werken.

De eisen die we stellen kunnen per organisatie verschillen. Zo zal een geheime dienst andere eisen stellen dan de bakker om de hoek (als die laatste al eisen stelt). Maar ook per informatiesysteem kunnen de eisen verschillen. De kritische informatiesystemen krijgen wellicht hogere eisen opgelegd dan een niet kritisch systeem. Hierbij houden we uiteraard weer de relatie tussen de bedrijfsprocessen en informatiesystemen goed in het oog en leiden we het een en ander af uit de missie van onze organisatie. Wel stellen we graag eisen die haalbaar zijn, we maken ze SMART om te voorkomen dat het er op papier allemaal leuk uit ziet, maar in de praktijk nooit gaat werken.