Voor managers van een organisatie begint het leven toch wel ingewikkeld te worden. Vroeger was men voor alles en nog wat verantwoordelijk en als men er een zootje van maakte werd men weggepromoveerd.
Tegenwoordig telt niet alleen de verantwoordelijkheid maar ook de aansprakelijkheid. Als bijvoorbeeld een werknemer door RSI arbeidsongeschikt wordt, moet aangetoond worden dat alle voorzorgsmaatregelen getroffen zijn om dit te voorkomen, want anders draait de organisatie voor de kosten op. Zo zit de ARBO-wetgeving nu eenmaal in elkaar. Een manager loopt steeds meer het risico om afgestraft te worden als hij zich niet goed indekt tegen zijn aansprakelijkheid. In Amerika escaleert dit tot soms zelfs gevangenisstraf en in Nederland neemt het risico ook toe.
Nu is honderd procent beveiliging uiteraard onmogelijk. Tegen lieden die zelfmoordacties plegen is ieder kansloos. En als er scholieren zijn, die gebruik makend van de zwakheden van marktleiders als Microsoft virussen verspreiden, dan is men afhankelijk van de alertheid van zijn beheerders en gebruikers om te voorkomen dat men besmet raakt met die virussen.
De meeste incidenten op het gebied van informatiebeveiliging zijn niet erg. De kosten zijn meestal niet meer dan de herstelschade. Maar het wordt een ander verhaal als men als persoon of bedrijf aansprakelijk gesteld kan worden voor die incidenten. Dan moet men ook opdraaien voor de vervolgschade. En die vervolgschade bedraagt meestal een veelvoud van de herstelschade. Vanuit managementoogpunt is dat het risico dat men loopt. En dat risico moet vermeden worden. (Zie ook ‘Informatiebeveiliging: van onbewust risico lopen naar bewust risico nemen’.) Beveiliging is daarom een non-issue, tot het moment dat er een beveiligingsincident plaats vindt. Op dat moment wordt er gekeken of de getroffen maatregelen adequaat waren.
In de tijd dat digitale communicatie steeds belangrijker werd en steeds meer informatiesystemen aan elkaar werden geknoopt om de efficiency van de bedrijfsvoering te verhogen, is de hype rond informatiebeveiliging ontstaan. Terecht, want de kwetsbaarheid van de informatievoorziening nam sterk toe. Diverse organisaties zijn erop ingesprongen met het aanreiken van methodieken om dit gevaar te bestrijden. In hoofdlijnen komen deze methodieken allemaal op hetzelfde neer, of ze nu uitgaan van CRAMM, de Code voor Informatiebeveiliging, het VIR of de ISF-richtlijnen.
Natuurlijk moet een organisatie een informatiebeveiligingsbeleid vastleggen (zie ‘Statuut informatiebeveiliging’) en vervolgens risico-analyses (afhankijkheid en kwetsbaarheidsanalyses) uitvoeren. Deze worden echter vaak zodanig gepositioneerd dat ze bovenop het basisbeveiligingsniveau ofwel de baseline, die op zich meestal al bestaat uit enkele honderden maatregelen, nog extra maatregelen noodzakelijk maken. Nadat hiervoor een plan is gemaakt, moet dan de implementatie van de honderden maatregelen plaatsvinden. Uitgangspunt hierbij is de beveiliging en niet de bedrijfsvoering. Zeker de aansprakelijkheid is geen issue. Beveiliging is echter vaak de vijand van efficiency. Iedere weldenkende manager zal er daarom voor zorgen, dat hij minimaal last heeft van al deze maatregelen.
Juist de aansprakelijkheid brengt het management echter weer in de problemen. Om zich bij een beveiligingsincident in te dekken tegen de schuldvraag of zij voldoende maatregelen hebben getroffen, hebben managers vaak op grote schaal security manager of security officers, informatiebeveiligingsfunctionarissen, IBF’s etc. aangesteld om de informatiebeveiliging ter hand te nemen. Als extra voorziening werd ook nog vaak CMG, Cap Gemini of KPMG ingehuurd om de informatiebeveiliging helemaal dicht te timmeren. (Zie ook ‘Professionele informatiebeveiligers maken zich vaak ongeloofwaardig’.)
Dat de implementatie van honderden maatregelen per definitie een ‘mission impossible’ is, liet men stilzwijgend in het midden. Managers kochten in feite het probleem af door een functionaris aan te stellen en een project te definiëren, waarvan iedere manager in feite weet dat het gedoemd is te mislukken.
Ondanks de grote hoeveelheid gebakken lucht die langskomt als we spreken over integriteit, corporate governance etc., is nu één ding toch wel duidelijk: aansprakelijkheid is nu en zal ook in de komende jaren een belangrijk issue voor het management zijn. De manager komt niet meer weg met het aanstellen van een security officer en het inhuren van een duur bureau.
Natuurlijk moet dat voor een manager geen reden zijn om dan toch maar een baseline te implementeren. Dat werkt niet en verstoort bovendien de bedrijfsvoering ontoelaatbaar. Wat nu telt is de risicoanalyse. Niet om te bepalen welke additionele maatregelen nodig zijn boven op de baseline, maar om te bepalen welke aansprakelijkheidsrisico’s men loopt. Indien dit afgestemd wordt met de betrokken managers, hoeft er geen geld weggegooid te worden aan ‘awareness’ ontwikkeling, Het gaat dan immers om maatregelen die de manager daadwerkelijk wil. Ook hoeft men dan achteraf niet te constateren, dat het geheel niet werkend gemaakt is.
Bent je bang voor een eventuele audit? Dat is niet nodig als je kiest voor ISO 27002 als norm. ISO 27002 is niet normatief en geeft je de mogelijkheid om de informatiebeveiliging daadwerkelijk af te stemmen op uw behoeften en risico’s. (Zie ook ‘ISO 27001 of 27002 ‘lean en mean’ implementeren als security management systeem’.) Niet de informatiebeveiliging is bij ISO 27002 de centrale factor, maar het succes van de organisatie. Daardoor creëer je automatisch draagvlak voor de maatregelen. Bovendien bespaart je daarmee aanzienlijk in de kosten.