Tag: risicoanalyse

Het Nieuwe Werken bedreigt beveiliging

  door

Het midden- en kleinbedrijf heeft een blinde vlek voor de risico’s die moderne ontwikkelingen zoals het Nieuwe Werken met zich meebrengen. Informatie ligt vaak onbewust te grabbel, computernetwerken worden vanuit onverdachte hoek bedreigd en de sociale controle op wie het bedrijf binnenkomt kalft af (bron).

Voordat we nieuwe ontwikkelingen in de weg willen gaan staan (omdat ze nu eenmaal niet veilig zijn), moeten we eerst kijken over welke risico’s we het hebben. Welke nieuwe risico’s brengt het nieuwe werken eigenlijk allemaal met zich mee en hoe erg is dat dan voor onze organisatie?

Natuurlijk heeft een nieuwe ontwikkeling ook nieuwe risico’s. Dat is logisch en ook helemaal niet erg. Hoewel er natuurlijk nog genoeg beveiligers zijn die nieuwe ontwikkelingen liever zien gaan dan komen, zijn we hiermee aangekomen bij de verdere volwassenheid van beveiliging (althans, als het aan mij ligt).

We moeten niet langer redeneren vanuit allerlei beveiligingsmaatregelen, zoals we nog te vaak doen, maar we moeten uitgaan van de risico’s. Als we die eenmaal in kaart hebben kunnen we ook kijken hoe groot de kans en de impact zijn voor onze organisatie. Daarna kunnen we kijken wat we er aan willen doen om deze risico’s te beperken. Zo zien we maar dat nieuwe ontwikkelingen ook kunnen leiden tot een nieuwe aanpak van beveiliging. Niet de makkelijkste weg maar wel een heel uitdagende weg.

Lezen we het originele bericht dan kunnen we in ieder geval al aan ons risico-lijstje toevoegen:

  • Informatie ligt vaak onbewust te grabbel
  • Computernetwerken worden vanuit onverdachte hoek bedreigd
  • De sociale controle op wie het bedrijf binnenkomt kalft af

  Allemaal leuk en aardig, maar daar kan natuurlijk geen enkele organisatie iets mee. Nee, wat we moeten doen is de oorzaken achterhalen. Lukt ons dat, dan kunnen we ook gericht maatregelen nemen om die oorzaken weg te nemen.

Daarbij moeten we natuurlijk wel de juiste maatregelen nemen. Stel nu dat we de kans hoog inschatten dan moeten onze maatregelen erop gericht zijn om de kans te verlagen. Is de impact daarentegen hoog dan richten onze maatregelen zich natuurlijk op de verlaging van die impact. Toch? Theoretisch helemaal waar en hogere wiskunde hoef je voor die logica ook niet gestudeerd te hebben.

In de praktijk helaas allemaal wat lastiger. We zien nog te vaak een mismatch tussen de oorzaken en de risico’s aan de ene kant en de maatregelen die we treffen aan de andere. Een pasklaar antwoord heb ik helaas ook niet voor je. Maar door berichten als hierboven te lezen en door logisch na te denken moeten we een heel eind kunnen komen. Wacht daar niet te lang mee want dan heeft een risico zich misschien al gemanifesteerd en kunnen we de zaak op slot doen (letterlijk of figuurlijk).

We kunnen het nieuwe ontwikkelingen blijven noemen, maar inmiddels zijn ze er alweer een poosje. Heb je nog niet aan risico analyse gedaan dan wordt het zo langzamerhand wel een keertje tijd.

De beste wensen en een veilig 2012

  door

Allereerst natuurlijk allemaal de beste wensen voor dit nieuwe jaar. Als je de Staatsloterij of Postcode loterij niet hebt gewonnen en als jouw bedrijf tijdens de feestdagen niet is afgebrand, is het vandaag weer tijd om aan de slag te gaan. Maar niet voordat je natuurlijk eerst al je collega’s de hand hebt geschut en een goed 2012 hebt gewenst.

Uiteraard zijn we benieuwd wat dit nieuwe jaar ons zal brengen. Wat gaat de economie doen, blijft de Euro nu wel of niet bestaan en krabbelen we weer eens uit de recessie? Welke beveiligingsincidenten zullen we dit jaar allemaal in het nieuws zien, welke daarvan treffen jouw organisatie en wat gaan bedrijven eraan doen om deze incidenten te voorkomen?

Zo aan het begin van dit nieuwe jaar is het allemaal nog koffiedik kijken. Feit is wel dat we 2011 af hebben kunnen sluiten met allerlei beveiligingsincidenten die we in 2012 toch liever willen voorkomen. Daarvoor kunnen we nu (of morgen) al beginnen met de eerste stap: risicoanalyse.

Mijn persoonlijke (beveiligings)wens voor 2012 sluit daar mooi bij aan. Laten we van 2012 het jaar maken waarin we stoppen met investeren in beveiligingsmaatregelen zonder dat er daarvoor een goede risicoanalyse is gemaakt. Zo zorgen we er niet alleen voor dat er meer risico’s daadwerkelijk worden afgedekt, maar zo zorgen we er ook voor dat de kosten en baten met elkaar in evenwicht blijven. We kunnen ze verantwoorden aan het management, gaan efficiënt met de beveiligingsbudgetten om en houden aan het eind van dit jaar misschien nog een deel van dat budget over.

Het lukraak geld uitgeven aan allerlei losstaande beveiligingsmaatregelen, die meer schijnveiligheid dan beveiliging opleverde, is zo 2011…nu breekt een periode aan waarbij we de beveiligingmaatregelen baseren op de operationele risico’s en uiteindelijk op de “enterprise risks” en die blijven voor 2012 ongewijzigd: omzet, kosten en imago, al het andere is daar een afgeleide van.

Als het ons lukt om deze gedachte vast te houden, dan kijken we op 31 december 2012 vast terug op een veilig 2012.

Beveiligingsplannen voor locaties

  door

Eerder hebben we al kunnen lezen dat er meer onder de zon is dan brandmelders en brandblussers om brand te voorkomen. Naast brand zijn er natuurlijk nog vele andere fysieke beveiligingsrisico’s die we willen beheersen. Denk alleen maar aan overstroming, inbraak, ramkraak, aardbevingen en ga zo maar door. Voor alle risico’s die we onderkennen zullen we de mogelijke oorzaken moeten achterhalen op basis waarvan we de beveiligingsmaatregelen kunnen bepalen om ze te beheersen. Deze organisatorische, bouwkundige en elektronische beveiligingsmaatregelen (de wellicht bekende OBE-mix uit de Haagse methode) moeten we vastleggen.

De vraag die daarbij hoort is:
Zijn, naar aanleiding van de risicoanalyse, de te nemen beveiligingsmaatregelen vastgelegd in een beveiligingsplan?

We hebben nu inmiddels zicht op de locaties, de kritische processen in die locaties en de bedreigingen die ons mogelijk uit het veld kunnen slaan in de vorm van risicoanalyses. Waarschijnlijk beschikken we over een pak papier waar we iets mee moeten. We kunnen per gebouw een dossier aanleggen op basis waarvan we een beveiligingsplan maken voor dat specifieke gebouw.

Hoe zo’n plan er exact uitziet kan per organisatie verschillen. Willen we toch liever een vaste en meer bekende standaard dan kunnen we zeker kiezen voor de Haagse methode. De uitkomsten hiervan zijn voor leveranciers van beveiligingsmaatregelen bekende materie en het kan een berg miscommunicatie voorkomen. Kies je toch liever voor een eigen methode dan ben je daar natuurlijk geheel vrij in.

Welke methode je ook kiest, van belang is wel dat de beveiligingsmaatregelen die je neemt vastliggen in een plan. Dat plan zal initieel meer tijd kosten maar na verloop van tijd is het een kwestie van bijhouden, of in andere woorden: periodieke evaluatie en bijstelling.

Het doel is natuurlijk niet een kast vol met plannen waar het stof mooi op kan gaan liggen. Het doel is om inzicht te verkrijgen in de risico’s en de maatregelen die we daartegen genomen hebben. Leuk dat wij van alles verzinnen, maar het is ook handig als we de kennis kunnen delen en er verantwoording over af kunnen leggen.

Niet, onder het mom van het is geheim, in het eigen brein houden dus, die risicoanalyses en beveiligingsplannen, maar gewoon inzichtelijk maken. Daarbij zullen we natuurlijk zien dat het ons de eerste keer best wat moeite zal kosten allemaal, maar vooral de hoop niet verliezen. Als we eenmaal het achterstallig onderhoud op plan gebied achter ons hebben gelaten wordt het allemaal eenvoudiger. We zullen door de volwassenheidsfases heen gaan en “in control” komen op het gebied van fysieke beveiliging.

Niet makkelijk, wel belangrijk. Wacht niet te lang met het opstarten van de risicoanalyses en het vastleggen van de plannen. De bedreigingen gaan echt niet wachten tot wij klaar zijn met de plannen en voordat we het weten worden we verrast door de gevolgen van bedreigingen die we niet onderkend hadden of die we niet inzichtelijk hebben gemaakt…en dat mag het management ons wel kwalijk nemen.

Risicoanalyse voor locaties

  door

We zijn al uitgebreid ingegaan op het overzicht van locaties en de risicoanalyses die we uit kunnen voeren. We gaan er nog wat dieper op in.

Daarom is de vraag:
Is een risicoanalyse uitgevoerd voor iedere locatie waar (kritische) bedrijfsprocessen plaats vinden, medewerkers zijn gestationeerd of informatiesystemen zijn gesitueerd.

Als we weten welke locaties we hebben en welke kritische bedrijfsprocessen waar plaats vinden dan kunnen we de risicoanalyses per gebouw uitvoeren. Risicoanalyse bestaat hierbij op hoofdlijnen uit kans x impact. Dat klinkt misschien wat eenvoudig maar geldt wel als basis voor het afdekken van de risico’s.

We moeten kijken welke bedreigingen we onderkennen. Daarbij moeten we dan vooral kijken naar de oorzaak en gevolg relaties. Ook dit klinkt niet zo moeilijk, maar lijkt in de praktijk toch niet altijd juist te worden opgepakt.

Laten we er nu eens vanuit gaan dat we inderdaad risico’s onderkend hebben. Het risico op “brand” schatten we hoog in. Nu kunnen we direct allerlei exotische maatregelen nemen om het risico af te dekken en we denken dan al snel aan brand- of rookmelders, brandblusinstallaties en misschien zelfs een interne brandweerafdeling met eigen spuitwagens. Op zich inderdaad maatregelen die je kunt relateren aan het risico op brand, maar wel allemaal maatregelen die pas in werking treden als de brand al is ontstaan.

Als we het risico echt zo hoog inschatten (de kans is hoog, de impact is hoog). Zou het dan niet veel beter zijn om er voor te zorgen dat de brand niet of slechts moeilijk kan ontstaan? Ja, natuurlijk zul je zeggen. Ok, als we die lijn vasthouden dan moeten we gaan kijken naar de oorzaak-gevolg relatie.

Brand is inderdaad een risico, maar het is ook het gevolg ergens van. Dat “ergens” is dan de oorzaak. Er kunnen allerlei oorzaken aan brand ten grondslag liggen. Laten we er twee als voorbeeld nemen:
1. Een gefrustreerde medewerker die het gebouw in de brand steekt;
2. De installatie van nog een firewall waardoor de stoppen in de meterkast voor kortsluiting zorgen.

Twee totaal verschillende mogelijke oorzaken (die op zichzelf weer het gevolg zijn van andere oorzaken) voor een brand die dus ook andere maatregelen vereisen. Zo zullen we in het eerste geval moet voorkomen dat medewerkers gefrustreerd raken (niet direct een taak voor beveiliging, toch?). In het tweede geval moeten we goed zicht houden op de verdeling van de stroomvoorziening (en je kunt je afvragen of dat nu direct een taak voor beveiliging is).

Wat we hieruit kunnen concluderen is dat het gevolg veelal in het gebied van beveiliging valt (brand). De oorzaak ligt veelal buiten dit gebied en is de verantwoordelijkheid van een ander binnen de organisatie. Dat is nu juist ook wat het voorkomen van risico’s zo ingewikkeld maakt. Wij, vanuit beveiliging, zijn niet verantwoordelijk voor de oorzaken maar worden wel aangekeken op de gevolgen.

Als we de risico’s voor gebouwen (maar ook voor alle andere aspecten waarop we risicoanalyse los laten) inzichtelijk willen maken, dan moeten we kijken naar de echte oorzaken. Daarna kunnen we bepalen in hoeverre we preventieve, detectieve, repressieve of correctieve maatregelen willen nemen om de kans of de impact te beheersen waarbij we ook nog in het achterhoofd moeten houden dat een geaccepteerd risico eveneens tot de mogelijkheden behoort.

Nu je dit gelezen hebt, denk je misschien dat het allemaal zo ingewikkeld is dat je er beter maar niet aan kunt beginnen. Inderdaad: het kan best zijn dat je een beerput open trekt. Maar dat mag geen reden zijn om er niet aan te beginnen. We hebben liever zicht op de mogelijke risico’s zodat we er wat mee kunnen dan dat we verrast worden door risico’s die we niet op ons netvlies hadden. Toch?

Risicoanalyses voor de informatiesystemen

  door

Zoals we gisteren hebben kunnen zien bepalen de beschikbaarheid, integriteit en exclusiviteit van de verschillende componenten de eisen die we kunnen stellen aan de informatievoorziening. Daarbij moeten we niet vergeten dat de componenten op elkaar inwerken en met elkaar samenhangen. Een losstaand component zegt (in de meeste gevallen) niet zoveel omdat hij van andere componenten gebruik maakt om de informatie daadwerkelijk af te leveren.

Het zal dan ook niet echt een verrassing zijn dat we nu gaan kijken naar de samenhang. We stellen onszelf de vraag:

Worden er risicoanalyses (afhankelijkheid en kwetsbaarheid) uitgevoerd voor de informatiesystemen?

De afhankelijkheids- en kwetsbaarheidsanalyse staat beter bekend als de A&K-analyse. Zonder specifiek in te willen gaan op de A&K-analyse kunnen we ook gebruik maken van CRAMM, FIRM, SPRINT of wat mij betreft iedere andere methode. Het gaat er om dat we op basis van de eisen voor de beschikbaarheid, integriteit en exclusiviteit gaan kijken naar de mogelijke risico’s die die eisen in gevaar kunnen brengen.

We zijn al eerder ingegaan op risicoanalyse en risicomanagement en hiervoor geldt hetzelfde alleen is de scope van onze analyse anders. We moeten de oorzaken en gevolgen niet door elkaar halen en proberen om een reële inschatting te maken. Als we die inschatting hebben gemaakt kunnen we bepalen of we een risico willen accepteren, willen mitigeren of willen overdragen aan een ander (voorkomen kan natuurlijk ook, maar dat heeft implicaties voor de informatievoorziening en daarvoor is een keuze op een ander managementniveau noodzakelijk).

Als het goed is hebben we eerder al risicoanalyses gemaakt voor de totale organisatie, daar passen de risicoanalyses (ja, meervoud, het zijn er meer) bij. Net als we risicoanalyses kunnen en zouden moeten maken voor de assets en de medewerkers. Een totaal pakket aan risicoanalyses waarmee de organisatie leert om te gaan denken in operationele risico’s en minder in beveiligingsmaatregelen.

Het klinkt misschien allemaal erg zwaar en als een hele berg papier. Dat kan maar is helemaal niet nodig. Er kan ook op een pragmatische wijze mee worden omgegaan. Veel papier, dikke informatiebeveiligingsplannen zijn nooit het doel maar zijn (eventueel) een middel om de beveiligingsdoelstellingen te bereiken. En als dat netjes op 1 A4-tje past, dan heeft dat absoluut de voorkeur.

Risicoanalyse en risicomanagement

  door

Inmiddels beginnen we al aardig draagvlak te krijgen voor onze activiteiten, zowel het management begrijpt dat het niet gaat om al die vervelende maatregelen maar om het afdekken van risico’s. De auditafdeling is op onze hand en de banden met de concurrent hebben we ook aangehaald. Misschien gek dat we de vijfde vraag nu pas gaan beantwoorden…maar ja het zou veel gekker zijn als we de vijfde vraag als tweede vraag zouden hanteren, toch?

De vijfde vraag die we moeten stellen is:
Maakt risicoanalyse en risicomanagement standaard deel uit van de integrale beveiliging?

En het antwoord? Ja, nee of weten we het eigenlijk niet?

Het is deze week al eerder aan bod gekomen, maar het draait dus eigenlijk helemaal niet om al die afzonderlijke, dure, ingewikkelde, lastige beveiligingsmaatregelen? Nee, juist, het draait om het afdekken van de risico’s die we als organisatie lopen. Over risicomanagement kun je hele boeken vol schrijven, maar de discussie over wat het nu exact is gaan we hier voor het gemak even uit de weg. We willen immers door de bomen ook nog gewoon het bos blijven zien. Om het eenvoudig te houden onderscheiden we hier “operational risks” en “enterprise risks”.

De operationel risks zijn die risico’s waar de Security Manager zich druk over mag maken. Denk bijvoorbeeld aan risico’s als: brand, hacking, cracking, virusuitbraak, inbraak en ga zo nog maar even door. Allemaal heel spannend natuurlijk, maar dat is vaak niet wat het senior management wil horen of waar zij wakker van liggen.

Nee de directie ligt juist wakker van de enterprise risks. Die kunnen we verdelen in: omzet, kosten en imago die uiteindelijk leiden tot de winstgevendheid van de organisatie (ja, non-profit ligt iets anders, maar goed, je begrijpt de strekking). De kunst is dus om met onze operationele hoofdpijn…eh, sorry risico’s aansluiting te zoeken bij de enterprise risks. Lukt dat, dan is de kans groot dat de directie ons nog serieus gaat nemen ook…of met andere woorden: onze echte meerwaarde gaat inzien.

Omdat we de blogs kort willen houden gaat het hier echt te ver om de hele risicomanagementmethodieken te beschrijven. Maar een belangrijk punt wil ik jullie toch niet onthouden. Naast operational en enterprise risk moeten we ook nog een keuze maken in een kwantitatieve of kwalitatieve aanpak…waarbij de laatste mijn voorkeur heeft omdat statistieken op informatiebeveiligingsgebied nog vaak ontbreken.

In een kort stuk tekst zijn we met een sneltreinvaart over risicoanalyse en risicomanagement heen gevlogen. Eigenlijk is dat onmogelijk en doen we het gebied te kort, maar goed we kunnen voor nu even niet anders.. Wel zijn we daarmee weer een stap verder en gaan we op weg naar vraag 6. Maar uiteraard niet voordat we, puur vanuit vaderlands liefde, Koninginnedag hebben gevierd.

Nogmaals, voor diegene onder jullie die echt niet 10 dagen willen wachten, je kunt de quickscan zelf ook al doorlopen door hier te klikken of door me snel uit te nodigen voor die bak koffie.