Security

Informatiebeveiliging: van onbewust risico lopen naar bewust risico nemen

Beveiliging op zich bestaat niet. Beveiliging is primair het gevoel doen ontstaan dat men risico’s zodanig onder controle heeft dat men zich veilig voelt. Het nemen van maatregelen is uiteraard verstandig, maar kan niet uitsluiten dat er iets gebeurt. Dat weet iedereen. 

Het leven is een continu proces van afwegen wat men wil bereiken versus de risico’s die men wil lopen in het bereiken van deze doelen. Hierbij heeft men altijd te maken met risico’s die men zelf neemt en risico’s die men vanwege externe omstandigheden loopt.
Aanslagen zoals op 11 september op de Twin Towers en de treinaanslagen in Madrid op 11 maart zijn uiteraard schokkend, maar als individu kunt je hier uiteraard niets mee. Deze risico’s zijn niet te vermijden en het is te hopen dat gezamenlijke inlichtingendiensten in de toekomst aanslagen zoveel mogelijk kunnen voorkomen.
Maar als je in de krant leest dat een ondernemer een overvaller niet te zachtzinnig overmeestert en vervolgens gearresteerd wordt voor geweldpleging, dan heeft dit hoogstwaarschijnlijk meer impact op jouw veiligheidsgevoel. Dergelijk gedrag van een collega-ondernemer waardeert je en in vergelijkbare omstandigheden zou je ook graag zo willen optreden. Omdat de kans dat zoiets je overkomt veel  groter is, neemt hierdoor jouw onzekerheid, en die van veel ondernemers, toe en bent je eerder bereid om hiertegen maatregelen te nemen.
Als we daarentegen echter vernemen dat de meeste ongelukken in de huiselijke omgeving plaatsvinden en we daar dus eigenlijk het meest onveilig zijn, halen we onze schouders op, we liggen hier zeker niet wakker van. We hebben het gevoel dat we dat kunnen beheersen en zijn dan ook best bereid op een wankel trapje te klimmen om de dakgoot schoon te maken, wetend dat we waarschijnlijk op onze pootjes terecht komen als het trapje omvalt.
Kortom, het is niet beveiliging die het gevoel van veiligheid geeft maar het is vooral de mate waarin men denkt risico’s te kunnen afdekken en ongelukken te kunnen voorkomen.
In dit artikel willen we verder ingaan op het subjectieve begrip van veiligheid. 

2. Omgaan met risico’s

Het risico dat je loopt op letsel of erger, als je in de auto stapt en deelneemt aan het verkeer is vele malen groter dan het risico dat je het slachtoffer wordt van een aanslag. Desondanks stapt je doodleuk iedere ochtend zonder piekeren in die auto en je bent niet te beroerd om de maximum snelheid of andere verkeersregels te overtreden.
Als je hiervoor een bon krijgt dan bent je woedend of vindt je het kinderachtig, want je had de zaak toch onder controle en je bracht toch niemand in gevaar?
Als iemand je zou zeggen dat je de bon heeft gekregen om je tegen uzelf in bescherming te nemen, dan loopt je waarschijnlijk aardig in het rood.
Ook hier bestaat de eeuwige tegenstelling tussen je en de beveiligers (overheid, politie, verkeersveiligheidsorganisaties) die roepen dat ineens een kind de weg kan oversteken of dat er iets anders onverwachts kan gebeuren.
Natuurlijk weet je dat ook en als je in de bebouwde kom in een onoverzichtelijke straat rijdt, dan rijdt je waarschijnlijk minder hard dan is toegestaan om deze risico’s te vermijden en als je over een weg rijdt, die een goed overzicht biedt en waar snel rijden geen risico’s oplevert voor jouw medeweggebruikers, dan zult je niet schromen om de verzonnen maximumsnelheid te overtreden. Als je een flitspaal ziet, dan houdt je uiteraard even in om het risico op een boete te vermijden.
Kortom, jouw weggedrag is een continue afweging van doelstellingen (snel op de plaats van bestemming zijn) en risico’s (ongelukken en boetes), waarbij je steeds weer tot keuzes komt welke van deze het zwaarst wegen. 

3. Veiligheid is primair het kennen van risico’s

Het voorbeeld van jouw rijgedrag zal niemand zien als een beveiligingsissue, hoewel het dat uiteraard wel is. Het is niet voor niets dat de belangrijkste risicogroep voor een verkeersongeval wordt gevormd door de leeftijdsgroep 18-24 jaar. Deze groep mist deels nog de ervaring om risico’s tijdig te onderkennen en daarop adequaat te anticiperen. Ik weet nog heel goed dat ik met zweet in mijn handen naast mijn 18-jarige dochter zat die net haar rijbewijs had gehaald. Ze zag onvoldoende wat er ver voor haar gebeurde en liet soms snelheidsverschillen onverantwoord oplopen. Zeker in het begin heb ik haar hierin intensief gecoacht om haar bewust te maken van risico’s en hoe ze hier op in kan spelen. Intussen is ze 22 en durf ik lekker achterover te leunen, terwijl zij rijdt. Niet dat we nu geen risico’s lopen op een ongeluk, maar ik beschouw het risico als aanvaardbaar, zeker omdat ik de aotogordel om heb en de auto is uitgerust met airbags en ABS.
Met informatiebeveiliging is het in feite hetzelfde verhaal. Iedereen die met informatie werkt, loopt het risico dat er informatie zoek raakt (beschikbaarheid), in verkeerde handen valt (vertrouwelijkheid) of wordt verminkt (integriteit). Vanwege het feit dat informatie in toenemende mate geautomatiseerd verwerkt wordt en er steeds nieuwe communicatiemedia beschikbaar komen, waarover deze informatie getransporteerd wordt, zijn we als informatiewerker steeds weer opnieuw die 18-jarige die net zijn rijbewijs heeft gehaald. Het is niet voor niets dat bijna 70% van alle beveiligingsincidenten wordt veroorzaakt door interne medewerkers.
Denkt je nu vooral niet dat je ineens een groot deel van jouw medewerkers niet meer kunt vertrouwen. Nadere analyse toont juist aan dat de meeste incidenten worden veroorzaakt door medewerkers die het meest loyaal staan tegenover jouw organisatie.
Natuurlijk weten zij diep in hun hart wel dat ze zich aan bepaalde richtlijnen moeten houden, maar ze vinden het vele malen belangrijker dat ook vandaag het werk weer af komt. Ook zij maken continu de afweging tussen doelstellingen en risico’s en kiezen dan meestal voor de doelstellingen. Daar worden ze tenslotte voor betaald. Zij maken keuzes waarvan zij denken dat je daar als manager gelukkig mee bent en als je dit blijft bevestigen, dan zal er niets veranderen.
Het zijn niet de beveiligers die zorgen voor een betere veiligheid, maar juist de managers die in staat zijn medewerkers bewust te maken van risico’s en die aangeven welke risico’s wel en niet gelopen mogen worden. 

Meer weten of informatiebeveiliging of business continuity?

4. Zijn managers kleuters?

De vraag of managers kleuters zijn, zullen veel beveiligingingsfunctionarissen volmondig met ‘ja’ beantwoorden. En als het gaat om informatiebeveiliging hebben ze daarin misschien ook vaak wel gelijk. Veel managers hebben primair hun focus gericht op de effectiviteit en de efficiency van bedrijfsprocessen en dit is terecht. Als ze echter daarnaast ongevoelig zijn voor de risico’s die deze bedrijfsprocessen kunnen verstoren, dan gedragen ze zich in feite als dat drammerige kind dat alleen oog heeft voor het ijsje dat het wil hebben. Helaas moet ik constateren dat ik in mijn leven meer van dit soort managers ben tegengekomen dan van dit soort kinderen.
Het is dan ook de schone taak van beveiligers deze ‘drammerige kleuters’ als ‘liefhebbende ouders’ op het rechte pad te brengen. Helaas overstijgen de pedagogische kwaliteiten van de gemiddelde informatiebeveiligingsmanager niet die van de gemiddelde ouder uit de jaren vijftig, wiens centrale argument was: “Omdat het zo nu eenmaal hoort” of “Omdat ik het zeg”. Dat er op deze wijze een ‘generatiekloof’ ontstaat tussen management en beveiligers is evident. (Zie ook ‘Informatiebeveiligers verpesten iedere awareness’.)

5. VIR, Code voor informatiebeveiliging etc.

Belangrijke oorzaak voor deze ‘generatiekloof’ zijn de hulpmiddelen die zijn ontwikkeld rondom beveiligingsnormen als het VIR en de Code voor Informatiebeveiliging.
Hoewel deze methoden zelf aangeven dat er een balans gevonden moet worden tussen risico’s en maatregelen is er vaak ook een baseline ontwikkeld van vele honderden maatregelen, die moet worden gezien als het minimale.
Als het doel wordt van de informatiebeveiligingsfunctionaris is, al deze maatregelen rücksichtslos te handhaven, wordt hij gezien als die politieagent die verscholen langs de kant van de weg weggebruikers probeert te verbaliseren vanwege overtreding van de regels en niet vanwege het in gevaar brengen van de verkeersveiligheid. Zo’n politieagent is niet geloofwaardig als hij een bon geeft, en zo is ook een IBF niet geloofwaardig, als hij zich achter regeltjes verschuilt.

5.1 Voorbeelden uit de praktijk

Bovenstaande wil ik graag toelichten aan de hand van de twee waarschijnlijk meest absurde situaties die ik ooit ben tegengekomen:

  • Een rechter die zijn werkkamer had in een extreem beveiligde zone van het gerechtsgebouw (drie controles), had standaard op zijn bureaus (20 m2) een stapel dossiers liggen van ca. 1 meter hoog. Als je hem een vraag stelde, viste hij binnen 10 seconden het desbetreffende dossier uit de chaos en kon je antwoord geven. De invoering van de clean desk policy werd door hem dan ook niet geaccepteerd tot woede van de IBF.
  • In gesprek met een hoofd van het openbaar ministerie (OM) gaf deze functionaris aan, dat zijn grootste zorg was dat de georganiseerde misdaad structureel inzage zou hebben in zijn gegevens. Ik heb hem vervolgens uitgelegd op welke wijze dit waarschijnlijk inderdaad het geval is en hoe hij dat zou kunnen ontdekken. Hierop reageerde de IBF met de opmerking dat dit niet in de baseline stond en dat dit dus geen prioriteit had.

Het moge duidelijk zijn dat managers zo niet gemotiveerd worden om samen met beveiligingsfunctionarissen te komen tot een goede mix van risico’s nemen en risico’s afdekken.  Daarom kan beter een norm als ISO 27002 of NEN 7510 gehanteerd worden. (Zie ook ‘ISO 27001 of 27002 ‘lean en mean’ implementeren als security management systeem’.)

6. Risico lopen, afdekken of nemen

Zoals eerder al gesteld, het is onmogelijk elk risico te vermijden. Los van de nieuwe acties van terroristen, wordt het leven onleefbaar als bij iedere handeling eerst bewust het veiligheidsrisico of erger nog de regelgeving afgewogen moet worden. Maar blind zijn voor risico’s om toch vooral maar de doelen te bereiken is zijn als die kleuter die alleen maar dat ijsje ziet dat hij beslist wil hebben. Beveiligers zien het vaak als hun taak deze kleuters op te voeden en hun door awareness-programma’s te waarschuwen voor alle gevaren die op de loer liggen, met als doel hun gedrag te veranderen. Vaak gebeurt dit belerend in plaats van via de weg van participatie. Het effect is dat de manager, die zich eerst als kleuter onbewust was van de risico’s die hij liep, nu in de puberteit komt en zich af gaat zetten tegen zijn opvoeders, de beveiligingsfunctionarissen.
Regelgeving die vaak gepredikt wordt door beveiligers leidt alleen maar tot toename van puberaal gedrag door managers, en terecht. Verantwoord managen heeft alles te maken met het managen van doelstellingen en risico’s. Niet de manager als een kind verbieden om bepaalde dingen wel of niet te doen heeft effect. Met de manager op volwassen wijze bespreken welke risico’s er juist voor hem van belang zijn en hoe of ten koste van wat deze eenvoudig voorkomen kunnen, is veel zinvoller. Dan kan de manager bepalen hoe hij met die risico’s wil omgaan.
Voor een deel zal hij kiezen voor de aanschaf van een auto met ABS en airbags, wat wel een investering vergt maar doelstellingen niet in gevaar brengt. Voorts zal hij er waarschijnlijk voor kiezen om een autogordel om te doen, hoewel hij hierdoor wel beperkt wordt in zijn bewegingsvrijheid. En voor een deel zal hij zich bewust moeten zijn van risico’s en deze nemen en hiertoe zal hij ook zijn medewerkers op belangrijke punten moeten coachen.
En dit laatste gaat niet over honderden risico’s zoals veel beveiligers je graag willen doen geloven, maar meestal een tiental die er echt toe doen.
Goed management betekent niet altijd het uitsluiten van alle risico’s maar wel het zich bewustzijn van de risico’s die men loopt. Het is aan je als manager te besluiten welke risico’s je wilt nemen en welke je wilt vermijden.
In veel gevallen betekent dit dat je dreigingen accepteert, mits je weet dat als de dreiging werkelijkheid wordt, je toch in staat bent om de bedrijfsvoering zo snel mogelijk weer te herstarten. (Zie ‘Keuzes en aanpak voor jouw Business Continuity Plan BCP of calamiteitenplan.’) Misschien kiest je ervoor om nog structureler om te gaan met beveiliging. De ISO 27002 norm vormt hiervoor een adequaat managementsysteem, waarmee je informatiebeveiliging in control kunt krijgen en waardoor de risico’s van informatiebeveiliging voor je bestuurbaar worden. 

Actueel

Gerelateerd nieuws

Due diligence en de CSRD

Lees verder

Veiligheidsmanagement voor één van ‘s werelds grootste sluizen

Lees verder

Impactvolle rol voor Kader bij renovatie Krammersluizencomplex van Rijkswaterstaat

Lees verder
Stel een vraag

Contact

Velden met een * zijn verplicht