Het voor een organisatie ondoenlijk om 300+ maatregelen in te voeren, gebaseerd op de huidige risicoanalyse methodieken.
In het artikel ‘Security: geen maatregelen maar risicoreductie’, is beschreven dat het voor een organisatie ondoenlijk is om 300+ maatregelen in te voeren, gebaseerd op de huidige risicoanalyse methodieken. Hierbij is aangegeven dat:
In dit artikel wordt gaan we in op waarom informatiebeveiliging wel werkend is te krijgen en waarom mislukte implementaties van bijvoorbeeld het VIR weer vlot getrokken kunnen worden.
Projecten op het gebied van informatiebeveiliging lopen vaak stuk op de zeer ingewikkelde risicoanalyses. Een risicoanalyse kan op verschillende manieren en op geheel verschillende abstractieniveaus worden uitgevoerd en ook op verschillende objecten worden losgelaten. Er zijn risicoanalyses die zich richten op de bedrijfsprocessen (afhankelijkheidsanalyses) en er zijn risicoanalyses die zich meer richten op de techniek zelf. ( kwetsbaarheidanalyses) Bij risicoanalyses die zich meer op de techniek richten, wordt nog een belangrijk onderscheid gemaakt, namelijk in de applicatiegerichte risicoanalyse en de infrastructuurgerichte risicoanalyse.
Een risicoanalyse is zelden confectie. Er kunnen trajecten zijn van (afhankelijk van de organisatie) minimaal 3 tot 6 maanden en het resultaat daarvan is heel moeilijk af te bakenen.
Het gevolg is dat men er letterlijk in verzandt. Projecten worden stopgezet zonder een bevredigend eindresultaat. Daarnaast is het voor organisaties heel moeilijk de vertaalslag te maken naar de daadwerkelijke implementatie, m.a.w. vragen als:
Welke logische stappen moeten worden doorlopen om een informatiebeveiligingsproject werkend te krijgen? De essentie hiervan is dat vanaf het prille begin een beroep wordt gedaan op het management om keuzes te maken. De uitdaging hierbij is om de bij de initiële implementatie niet meer dan 20 maatregelen in te voeren.
Het statuut Informatiebeveiligingsbeleid is essentieel en normerend voor de inbedding van informatiebeveiliging in de organisatie. Het wordt onderschreven door het Topmanagement van de organisatie en beschrijft in heldere en duidelijke taal de volgende onderwerpen:
Voor een voorbeeld verwijzen wij je naar ‘Statuut Informatiebeveiliging’.
Bij een risicoanalyse is het gebruikelijk om zowel de huidige (IST) als de toekomstige (SOLL) situatie vast te stellen. Vervolgens kan men analyseren welke afwijkingen worden geconstateerd. Hierdoor is het een stuk eenvoudiger om met het management de prioriteiten vast te stellen, aangezien zij de SOLL situatie hebben bepaald.
Het is een verkeerde veronderstelling te denken dat geconstateerde afwijkingen van het beveiligingsplan altijd slecht zijn. Het is zeer goed mogelijk dat het beleid, de methode voor risicoanalyse of het beveiligingsplan niet adequaat meer zijn.
Risicoanalyse kan worden gegenereerd vanuit een algemene methode, door deze een organisatie -specifieke inkleuring te geven. Het heeft absoluut geen nut een relatief zware methode voor een risicoanalyse in te zetten als de organisatie daar niet aan toe is.
Nadat de objecten zijn vastgelegd , die onderwerp kunnen zijn voor een risicoanalyse en de relevante dreigingen zijn geïdentificeerd, zal aan de hand van een globale analyse, bijvoorbeeld middels Sprint, het risicoprofiel van de organisatie en de toegepaste systemen worden vastgesteld. Middels deze globale analyse verkrijgt men inzicht in hoeveel aandacht men aan welke onderwerpen moet besteden. De input voor deze globale analyse wordt gegeven vanuit de business.
Dit impliceert dat men inzichtelijk heeft gemaakt welke risico’s men vanuit de business ziet, waardoor men ook direct aan de awareness ( betrokkenheid en belang) werkt. De manager denkt binnen zijn eigen doelstellingen bewust na over de risico’s, als het gaat om het voeren van een effectieve en efficiënte bedrijfsvoering.
Op basis van de Code van Informatiebeveiliging zal de huidige status van beveiliging worden vastgesteld. Het is een assessment methodiek met een geautomatiseerde vragenlijst. Het resultaat is een weergave van de huidige status gebaseerd op de 12 paragrafen van de code.
Het is hierbij wel belangrijk om alle facetten de revue te laten passeren, omdat men dan een totaal beeld krijgt van de situatie. Ook wordt daarmee inzichtelijk, of men bepaalde keuzes om sommige maatregelen wel of niet in te voeren, bewust heeft gemaakt en onderbouwd. De inventarisatie van de SOLL situatie kan tevens leiden tot een meer diepgaande analyse van bepaalde onderwerpen.
De analyse van de huidige situatie levert een hele verzameling maatregelen op, die opgedeeld zijn volgens de hoofdstukken van de Code van Informatiebeveiliging. Daarnaast zijn de belangrijkste risico’s en bedreigingen vastgesteld in de analyse van de SOLL-situatie. Beide resultaatgebieden vormen nu de input voor een creatieve sessie, met als doel die maatregelen vast te stellen waarmee de belangrijkste risico’s cq. bedreigingen worden geëlimineerd.
Het doel van deze stap is te komen tot de selectie van een pakket maatregelen dat past bij de beveiligingseisen en de geïdentificeerde dreigingen opvangt. Hele belangrijke uitgangspunten hierbij is dat het beheersbaar blijft, dat het integraal kan worden meegenomen in de bedrijfsvoering (efficiency en effectiviteit) en dat de naleving door het management gecontroleerd kan worden. De maatregelen moeten een evenwichtig stelsel vormen Dit geldt voor het evenwicht tussen organisatorische , fysieke, procedurele en technische maatregelen en voor het gewenste accent op preventie, reductie, detectie en correctie.
Daarnaast moet men heel praktisch te werk gaan. Dit kan door:
Het klinkt als een open deur, maar nu begint pas het eigenlijke werk: het daadwerkelijk doorvoeren van de 20 belangrijkste maatregelen en het ervoor zorgen dat de naleving hiervan geborgd wordt in organisatorische processen. Informatiebeveiliging dient op alle niveaus in de organisatie op de agenda te staan. Hiermee creëert men direct de benodigde awareness.
Het beperkt houden van het aantal maatregelen zorgt er ook voor dat de kans op een succesvol implementatietraject sterk wordt vergroot. Het wordt eenvoudigweg “behapbaar” voor een organisatie naast de reguliere werkzaamheden.
Ten behoeve van de niet urgente maatregelen wordt een plan gemaakt met hierin de tijdslijnen en de motivatie waarom het doorvoeren van deze maatregelen later kan plaatsvinden. In veel gevallen is het ook beter om te wachten tot een zogenaamd basis beveiligingsniveau is bereikt.
Daarnaast dient per maatregel, in geval is vastgesteld dat deze niet wordt doorgevoerd, de motivatie te worden beschreven.
Het belangrijkste aspect dat ervoor zorgdraagt dat informatiebeveiliging wordt geborgd in de organisatie, is het testen op de naleving van de ingevoerde maatregelen.
Hiermee kan men het niveau vasthouden. Men zorgt er als het ware voor dat informatiebeveiliging in de kwaliteitscyclus van de onderneming meedraait. Dit impliceert dat het doorvoeren van informatiebeveiliging in de organisatie geen eenmalig project is, maar geborgd is in de organisatie.
Het is verstandig om de controle op naleving zowel intern te laten plaatsvinden als op gezette tijden door een onafhankelijk externe organisatie. Dit geldt voor zowel de technische als de organisatorische maatregelen.
Informatiebeveiliging is een specialisme over een breed werkterrein. Dit maakt het soms complex om vast te stellen hoe men moet beginnen. De ervaring leert dat men vanuit bedrijfsmatig oogpunt weet welke bedreigingen en risico’s van belang zijn.
De kunst is om in een zo vroeg mogelijk stadium het bedrijfsmatige aspect en de best-practices van informatiebeveiliging bij elkaar te brengen en vandaar uit het plan te trekken. Pragmatisme staat hierbij voorop en resultaatgericht werken,waardoor het invoeren van informatiebeveiliging zichtbaar wordt in de organisatie.
Maak gebruik van de standaardfaciliteiten van een organisatie, bijvoorbeeld:
Zet de communicatieafdeling in voor awarenesscampagnes.
Gebruik de standaardcommunicatiemiddelen als intranet en nieuwsbrieven.
Respecteer de cultuur van de organisatie.
Vaak heeft de organisatie al bepaalde managementinstrumenten in gebruik, waaraan men gewend is; sluit hierop aan.
Wanneer het signaal wordt afgegeven, niet individueel de vragenlijsten te willen doorlopen, maar in een workshop, dan moet men dit respecteren.
Kortom, de meest garantie voor succes is om aan te sluiten bij bestaande processen, overlegstructuren en de cultuur van de organisatie.