Security

Werkend maken van informatiebeveiliging

Het voor een organisatie ondoenlijk om 300+ maatregelen in te voeren, gebaseerd op de huidige risicoanalyse methodieken.

1. Inleiding

In het artikel ‘Security: geen maatregelen maar risicoreductie’, is beschreven dat het voor een organisatie ondoenlijk is om 300+ maatregelen in te voeren, gebaseerd op de huidige risicoanalyse methodieken. Hierbij is aangegeven dat:

  • er bij het topmanagement wel degelijk voldoende bewustzijn heerst aangaande informatiebeveiliging;
  • men de besluitvorming onvoldoende voorbereid voor het topmanagement;
  • men niet met problemen aan moet komen, maar met oplossingen.

In dit artikel wordt gaan we in op waarom informatiebeveiliging wel werkend is te krijgen en waarom mislukte implementaties van bijvoorbeeld het VIR weer vlot getrokken kunnen worden. 

2. Probleemstelling

Projecten op het gebied van informatiebeveiliging lopen vaak stuk op de zeer ingewikkelde risicoanalyses. Een risicoanalyse kan op verschillende manieren en op geheel verschillende abstractieniveaus worden uitgevoerd en ook op verschillende objecten worden losgelaten. Er zijn risicoanalyses die zich richten op de bedrijfsprocessen (afhankelijkheidsanalyses) en er zijn risicoanalyses die zich meer richten op de techniek zelf. ( kwetsbaarheidanalyses) Bij risicoanalyses die zich meer op de techniek richten, wordt nog een belangrijk onderscheid gemaakt, namelijk in de applicatiegerichte risicoanalyse en de infrastructuurgerichte risicoanalyse.
Een risicoanalyse is zelden confectie. Er kunnen trajecten zijn van (afhankelijk van de organisatie) minimaal 3 tot 6 maanden en het resultaat daarvan is heel moeilijk af te bakenen.
Het gevolg is dat men er letterlijk in verzandt. Projecten worden stopgezet zonder een bevredigend eindresultaat. Daarnaast is het voor organisaties heel moeilijk de vertaalslag te maken naar de daadwerkelijke implementatie, m.a.w. vragen als:

  • ‘Hoe kan ik informatiebeveiliging inbedden in de organisatie?’ Te vertalen naar
    de implementeerbaarheid van het beleid en
  • ‘Welke eisen stel ik aan mijn informatiebeveiligingsinfrastructuur, om beleidsdoelstellingen te realiseren ?’ naar een zo goed mogelijke onderkenning en analyse van de risico’s en de selectie van de bijbehorende maatregelen. 

3. Aanpak

Welke logische stappen moeten worden doorlopen om een informatiebeveiligingsproject werkend te krijgen? De essentie hiervan is dat vanaf het prille begin een beroep wordt gedaan op het management om keuzes te maken. De uitdaging hierbij is om de bij de initiële implementatie niet meer dan 20 maatregelen in te voeren.

3.1 Opstellen statuut Informatiebeveiligingsbeleid

Het statuut Informatiebeveiligingsbeleid is essentieel en normerend voor de inbedding van informatiebeveiliging in de organisatie. Het wordt onderschreven door het Topmanagement van de organisatie en beschrijft in heldere en duidelijke taal de volgende onderwerpen:

  • Inleiding
    • Waarom aandacht voor informatiebeveiliging?
    • Waarom zijn maatregelen nodig?
  • Informatiebeveiliging
    • Begrippen
    • Doel van informatiebeveiliging
    • Reikwijdte van het informatiebeveiligingsbeleid
  • Uitgangspunten en voorwaarden
    • Normen en standaarden
    • Algemene uitgangspunten
    • Uitgangspunten inzake integriteit, vertrouwelijkheid en beschikbaarheid
    • Financiële aspecten
  • Organisatie, taken en verantwoordelijkheden
  • Toetsing
  • Rapportage en evaluatie
  • Melding van incidenten

Voor een voorbeeld verwijzen wij je naar ‘Statuut Informatiebeveiliging’. 

3.2 Risicoanalyse

Bij een risicoanalyse is het gebruikelijk om zowel de huidige (IST) als de toekomstige (SOLL) situatie vast te stellen. Vervolgens kan men analyseren welke afwijkingen worden geconstateerd. Hierdoor is het een stuk eenvoudiger om met het management de prioriteiten vast te stellen, aangezien zij de SOLL situatie hebben bepaald.
Het is een verkeerde veronderstelling te denken dat geconstateerde afwijkingen van het beveiligingsplan altijd slecht zijn. Het is zeer goed mogelijk dat het beleid, de methode voor risicoanalyse of het beveiligingsplan niet adequaat meer zijn.
Risicoanalyse kan worden gegenereerd vanuit een algemene methode, door deze een organisatie -specifieke inkleuring te geven. Het heeft absoluut geen nut een relatief zware methode voor een risicoanalyse in te zetten als de organisatie daar niet aan toe is.

3.2.1 Vaststellen toekomstige situatie (SOLL)

Nadat de objecten zijn vastgelegd , die onderwerp kunnen zijn voor een risicoanalyse en de relevante dreigingen zijn geïdentificeerd, zal aan de hand van een globale analyse, bijvoorbeeld middels Sprint, het risicoprofiel van de organisatie en de toegepaste systemen worden vastgesteld. Middels deze globale analyse verkrijgt men inzicht in hoeveel aandacht men aan welke onderwerpen moet besteden. De input voor deze globale analyse wordt gegeven vanuit de business.
Dit impliceert dat men inzichtelijk heeft gemaakt welke risico’s men vanuit de business ziet, waardoor men ook direct aan de awareness ( betrokkenheid en belang) werkt. De manager denkt binnen zijn eigen doelstellingen bewust na over de risico’s, als het gaat om het voeren van een effectieve en efficiënte bedrijfsvoering.

3.2.2 Vaststellen huidig beveiligingsniveau

Op basis van de Code van Informatiebeveiliging zal de huidige status van beveiliging worden vastgesteld. Het is een assessment methodiek met een geautomatiseerde vragenlijst. Het resultaat is een weergave van de huidige status gebaseerd op de 12 paragrafen van de code. 

Het is hierbij wel belangrijk om alle facetten de revue te laten passeren, omdat men dan een totaal beeld krijgt van de situatie. Ook wordt daarmee inzichtelijk, of men bepaalde keuzes om sommige maatregelen wel of niet in te voeren, bewust heeft gemaakt en onderbouwd. De inventarisatie van de SOLL situatie kan tevens leiden tot een meer diepgaande analyse van bepaalde onderwerpen.

3.3 Vaststellen passende maatregelen

De analyse van de huidige situatie levert een hele verzameling maatregelen op, die opgedeeld zijn volgens de hoofdstukken van de Code van Informatiebeveiliging. Daarnaast zijn de belangrijkste risico’s en bedreigingen vastgesteld in de analyse van de SOLL-situatie. Beide resultaatgebieden vormen nu de input voor een creatieve sessie, met als doel die maatregelen vast te stellen waarmee de belangrijkste risico’s cq. bedreigingen worden geëlimineerd.
Het doel van deze stap is te komen tot de selectie van een pakket maatregelen dat past bij de beveiligingseisen en de geïdentificeerde dreigingen opvangt. Hele belangrijke uitgangspunten hierbij is dat het beheersbaar blijft, dat het integraal kan worden meegenomen in de bedrijfsvoering (efficiency en effectiviteit) en dat de naleving door het management gecontroleerd kan worden. De maatregelen moeten een evenwichtig stelsel vormen Dit geldt voor het evenwicht tussen organisatorische , fysieke, procedurele en technische maatregelen en voor het gewenste accent op preventie, reductie, detectie en correctie.
Daarnaast moet men heel praktisch te werk gaan. Dit kan door:

  • maatregelen een prioriteit te geven op basis van de mogelijke schade die kan ontstaan:
    • Levert het incident zelf de schade op of ontstaat de schade doordat we niet snel en adequaat genoeg kunnen reageren?
    • Moeten we de incidenten voorkomen en dus hier de meeste aandacht aangeven?
      Is het mogelijk om maatregelen direct te koppelen aan een probleemeigenaar?
    • Hoe gaan we om met voorlichting?
  • in deze sessie (of mogelijk in een direct vervolg) direct de (maximaal 20) maatregelen vast te stellen die direct moeten worden doorgevoerd;
  • tevens de motivatie te maken waarom maatregelen in een later stadium worden doorgevoerd of in het geheel niet. 

3.4 Implementatie

3.4.1 Invoeren maximaal 20 maatregelen

Het klinkt als een open deur, maar nu begint pas het eigenlijke werk: het daadwerkelijk doorvoeren van de 20 belangrijkste maatregelen en het ervoor zorgen dat de naleving hiervan geborgd wordt in organisatorische processen. Informatiebeveiliging dient op alle niveaus in de organisatie op de agenda te staan. Hiermee creëert men direct de benodigde awareness.
Het beperkt houden van het aantal maatregelen zorgt er ook voor dat de kans op een succesvol implementatietraject sterk wordt vergroot. Het wordt eenvoudigweg “behapbaar” voor een organisatie naast de reguliere werkzaamheden.

3.4.2 Stel plan op niet-urgente maatregelen

Ten behoeve van de niet urgente maatregelen wordt een plan gemaakt met hierin de tijdslijnen en de motivatie waarom het doorvoeren van deze maatregelen later kan plaatsvinden. In veel gevallen is het ook beter om te wachten tot een zogenaamd basis beveiligingsniveau is bereikt.

3.4.3 Motiveren waarom maatregel niet wordt doorgevoerd

Daarnaast dient per maatregel, in geval is vastgesteld dat deze niet wordt doorgevoerd, de motivatie te worden beschreven.

3.5 Testen en naleving

Het belangrijkste aspect dat ervoor zorgdraagt dat informatiebeveiliging wordt geborgd in de organisatie, is het testen op de naleving van de ingevoerde maatregelen.
Hiermee kan men het niveau vasthouden. Men zorgt er als het ware voor dat informatiebeveiliging in de kwaliteitscyclus van de onderneming meedraait. Dit impliceert dat het doorvoeren van informatiebeveiliging in de organisatie geen eenmalig project is, maar geborgd is in de organisatie.
Het is verstandig om de controle op naleving zowel intern te laten plaatsvinden als op gezette tijden door een onafhankelijk externe organisatie. Dit geldt voor zowel de technische als de organisatorische maatregelen. 

Meer weten of informatiebeveiliging of business continuity?

4. Tot slot

Informatiebeveiliging is een specialisme over een breed werkterrein. Dit maakt het soms complex om vast te stellen hoe men moet beginnen. De ervaring leert dat men vanuit bedrijfsmatig oogpunt weet welke bedreigingen en risico’s van belang zijn.
De kunst is om in een zo vroeg mogelijk stadium het bedrijfsmatige aspect en de best-practices van informatiebeveiliging bij elkaar te brengen en vandaar uit het plan te trekken. Pragmatisme staat hierbij voorop en resultaatgericht werken,waardoor het invoeren van informatiebeveiliging zichtbaar wordt in de organisatie.
Maak gebruik van de standaardfaciliteiten van een organisatie, bijvoorbeeld:
Zet de communicatieafdeling in voor awarenesscampagnes.
Gebruik de standaardcommunicatiemiddelen als intranet en nieuwsbrieven.
Respecteer de cultuur van de organisatie.
Vaak heeft de organisatie al bepaalde managementinstrumenten in gebruik, waaraan men gewend is; sluit hierop aan.
Wanneer het signaal wordt afgegeven, niet individueel de vragenlijsten te willen doorlopen, maar in een workshop, dan moet men dit respecteren.
Kortom, de meest garantie voor succes is om aan te sluiten bij bestaande processen, overlegstructuren en de cultuur van de organisatie.

Actueel

Gerelateerd nieuws

Due diligence en de CSRD

Lees verder

Veiligheidsmanagement voor één van ‘s werelds grootste sluizen

Lees verder

Impactvolle rol voor Kader bij renovatie Krammersluizencomplex van Rijkswaterstaat

Lees verder
Stel een vraag

Contact

Velden met een * zijn verplicht