1. Informatiebeveiliging een grabbelton?
2. ISO 27002 is een kwaliteitssysteem
3. Vaststellen beleidsuitgangspunten
4. Opstellen risicoprofiel
5. Vaststelling van het basisbeveiligingsniveau
6. Procesimplementatie
7. Managementaandacht noodzaak 

1. Informatiebeveiliging een grabbelton?

Het selecteren van in te voeren maatregelen bij de implementatie van informatiebeveiliging lijkt vaak op grabbelen in een grabbelton; veelal worden, eventueel ondersteund door een geautomatiseerd tool, honderden maatregelen gedefinieerd om de informatiebeveiliging te verbeteren. Dat dit niet gaat werken, hoeft geen betoog. Wat moet bijvoorbeeld een overheid met allerlei maatregelen op het gebied van vertrouwelijkheid als door de Wet Openbaarheid van Bestuur veel vertrouwelijke gegevens opgevraagd kunnen worden?
De winst van ISO 27002 is, dat organisaties niet meer verplicht worden tot de invoering van heel veel maatregelen, maar dat zij kunnen kiezen voor een relevante set van maatregelen afgestemd op hun beleid en risicoprofiel. (Zie ook ‘ISO 27002, de Code voor Informatiebeveiliging nader toegelicht’.) Want niet de norm is bepalend. Bepalend zijn de beleidsuitgangspunten en het risicoprofiel van de organisatie, waarbij de ISO-norm geld als een set van ‘best practices’. Zo wordt tevens voorkomen dat maatregelen niet worden geaccepteerd. Want dat gebeurt wanneer zinloze regelgeving wordt ingevoerd.
Een organisatie heeft met betrekking tot in te voeren maatregelen drie keuzemogelijkheden: 

• Een maatregel wordt zo snel mogelijk geïmplementeerd.
• Een maatregel wordt gepland.
• Als de organisatie van mening is, dat voor haar een maatregel niet relevant is, dan geldt het principe: ‘pas toe of leg uit’.

Resultaat is een relevant stelsel van geïmplementeerde of geplande maatregelen, die beoordeeld kunnen worden door een certificerende instantie, die primair kijkt naar de evenwichtigheid van de besluitvorming en de naleving van de geïmplementeerde maatregelen. (Zie ook ‘Nu ook certificatieschema voor ISO 27002 beschikbaar’.) Certificering is al mogelijk, voordat alle geplande maatregelen zijn geïmplementeerd. Want tijdens de audit vindt beoordeling plaats op basis van het criterium ‘in control’. Hiermee is certificering op basis van ISO 27002 vergelijkbaar met certificering volgens de Code Tabaksblat of certificering op basis van ISO 9000. Het is immers mogelijk om zowel het Amstel Hotel als McDonalds te certificeren op basis van ISO 9000, terwijl men toch tussen deze restaurants een verschil in service- en productkwaliteit mag verwachten.
De in dit artikel beschreven werkwijze om te komen tot een security management systeem is voorgelegd aan een certificerende instantie en goedgekeurd.  

2. ISO 27002 is een kwaliteitssysteem

ISO 27002 wil een security management systeem zijn en daarmee geen eenmalig project, maar een proces in de organisatie. ISO 27002 is dan ook opgezet als een kwaliteitssysteem. Voorwaarde voor continue verbetering is de verbetercyclus die deel uitmaakt van dit systeem. De regie van het geheel ligt bij het managementteam of de directie. De implementatie in de organisatie wordt doorgaans wel projectmatig aangepakt.
Het overall model voor de implementatie wordt weergegeven in het volgende model: 

Figuur1: Overall model voor de implementatie van ISO 27002

Op basis van de beleidsuitgangspunten, het risicoprofiel en de doelstellingen van ISO 27002 wordt eerst een set aan maatregelen gedefinieerd, die geldt als het basisbeveiligingsniveau voor de gehele organisatie. Daarnaast kunnen voor bepaalde processen of afdelingen additionele maatregelen worden gedefinieerd, die niet voor de gehele organisatie gelden. Vervolgens wordt de planning- en controlcyclus geïmplementeerd, waarmee feedback op de naleving wordt gegeven, zodat bijgestuurd en verbeterd kan worden. In de volgende hoofdstukken zullen we per stap deze aanpak bespreken.  

3. Vaststellen beleidsuitgangspunten

De eerste stap is het vaststellen van de voor de informatiebeveiliging relevante uitgangspunten. Hiervoor kan gebruikt gemaakt worden van een checklist met een 40 á 50 mogelijke uitgangspunten, waaruit de directie of het managementteam keuzes maakt. Als deze keuzes bepaald zijn, is het opstellen van een richtinggevend beleidsdocument een invuloefening. (Zie ‘Statuut Informatiebeveiliging’.) Een aantal voorbeelden van mogelijke beleidsuitgangspunten zijn weergegeven in het volgende schema: 

Figuur2: Beleidsuitgangspunten

 Uiteraard moet ervoor gewaakt worden, dat beleidsuitgangspunten niet ambitieuzer gekozen worden dan nodig is. Zo lijkt bijvoorbeeld de volledige toepassing van het ‘need to know’-principe redelijk. De kosten van dit algemene uitgangspunt zijn echter hoog en in de praktijk moeten vaak uitzonderingen gemaakt worden voor ICT-beheerders, functioneel applicatiebeheerders, secretaresses en bijvoorbeeld medewerkers van de afdeling document management. Door de maatregel niet te treffen wordt dan voor deze mensen juist de kwaliteit van de beschikbare informatie vergroot.  

4. Opstellen risicoprofiel

Het risicoprofiel kan op meerdere wijzen worden samengesteld. In ieder geval kan het door betrokkenen te interviewen. Hiervoor kunnen bestaande methodieken worden gebruikt. Te denken valt aan Cramm, de A&K-analyse behorend bij het VIR of aan methodieken met een meer bedrijfsmatige invalshoek zoals SARA of SPRINT van het ISF. Deze methodieken hebben als nadeel, dat zij meestal behoorlijk tijdrovend zijn en allemaal een tool bevatten, dat een diarree aan maatregelen produceert om de risico’s af te dekken. Als dit tool niet wordt gebruikt, dan zal de risico analyse niet aansluiten bij de ISO-norm. Alleen voor SPRINT is de vertaalslag te maken (zie ook ‘Voorbeeld Rapport Risico Analyse Informatiebeveiliging’), maar bij Cramm en de A&K-analyse is dit vrijwel onmogelijk. Daar echter SPRINT niet uitgaat van een basisbeveiligingsniveau, maar van het maximaal vereiste niveau, heeft ook SPRINT zijn nadelen.
Wij bevelen daarom aan de risicoanalyse te doen aan de hand van een stoplichtmodel. (Zie ‘Managementrapportage risicoprofiel informatiebeveiliging ISO 27002′.) Dit model volgt de ISO-doelstellingen. Bovendien biedt het model de mogelijkheid om de maatregelen direct met de betrokkenen af te stemmen en zo passende en haalbare oplossingen te vinden, hetzij binnen het basisbeveiligingsniveau, hetzij in de vorm van additionele maatregelen.
Voordeel van het stoplichtmodel is, dat het het beveiligingsniveau visueel weergeeft, waardoor het mogelijk wordt om in een stapsgewijze verbetering het beveiligingsniveau van de organisatie te verhogen. Voor het management is de besluitvorming overzichtelijk. Het management wordt niet gedwongen ook diepgaand verstand te krijgen van informatiebeveiliging. Het kan zich beperken tot risk management en zicht houden op de status via bijvoorbeeld het volgende schema: 

Figuur3: Stoplichtmodel

5. Vaststelling van het basisbeveiligingsniveau

Op grond van de risicoanalyse wordt het basisbeveiligingsniveau (BBN) vastgesteld. Meestal wordt deze exercitie al voor de interviewronde een keer uitgevoerd met de ICT-manager en de security manager, om vast te stellen welke maatregelen al getroffen zijn en welke omissies er zijn. Dit voorkomt dat tijdens de interviews steeds weer gediscussieerd wordt over zaken die mogelijk allang zijn geregeld. We mogen er tenslotte vanuit gaan, dat het bestaande beveiligingsniveau redelijk adequaat is. Als dit namelijk niet het geval zou zijn, waren er wel eerder problemen gerezen, die de organisatie gedwongen had tot ingrijpen.
Een voorbeeld van een sjabloon dat hiervoor gebruik kan worden is hieronder gedeeltelijk weergegeven: 

Figuur4: Sjabloon voor het BBN

Het gebruik van dit sjabloon voor het BBN is uitgewerkt in het artikel ‘Voorbeeld vaststellen norm en basisbeveiligingsniveau op grond van ISO 27002 of 17799′.  

6. Procesimplementatie

Doorgaans moet ook de nodige aandacht besteed worden aan de inrichting van het proces. De meeste organisaties zijn nogal ‘doenerig’ ingesteld, zodat vaak gedacht wordt, dat als de maatregelen ingevoerd zijn de informatiebeveiliging geregeld is. Dat is echter een illusie.
Van groot belang is de inrichting van de interne controle (IC) op de informatiebeveiliging. Hierdoor wordt gemonitord welke incidenten plaatsvinden en of de maatregelen nog steeds adequaat zijn. Op grond hiervan vindt terugkoppeling plaats naar de directie of het managementteam en naar de verantwoordelijken voor de informatiebeveiliging, zodat het verbeterproces geborgd wordt.
De IC-functie is in de meeste bedrijven primair gericht op de controle van de financiële stromen. Voor de interne controle op de informatiebeveiliging zal daarom vaak nog een functionaris aangewezen moeten worden. Uitbesteding kan een alternatief zijn. Doorgaans brengt dat echter hogere kosten met zich mee. Ook is meestal de procedure voor het goedkeuren van investeringen en wijzigingsvoorstellen niet geregeld. Hierbij gaat het erom dat gecheckt moet worden wat de impact is van een investering of een wijziging op de informatiebeveiliging. Mogelijk maken investeringen en wijzigingen het definiëren van aanvullende maatregelen noodzakelijk.
Ook hier biedt het stoplichtmodel als rapportage systeem voor risk-management grote voordelen. Het management hoeft zich niet te verdiepen in de maatregel zelf, maar houdt zich slechts bezig met het kleurenschema van het stoplichtmodel, dat in de tijd steeds meer moet tenderen van rood naar groen. (Zie ‘Managementrapportage risicoprofiel informatiebeveiliging ISO 27002′). Bovendien voorkomt het stoplichtmodel dat risicoanalyses te vaak herhaald moeten worden en daarmee dat de organisatie te zwaar belast wordt.  

7. Managementaandacht noodzaak

Bedrijven die niet gedwongen willen zijn tot het invoeren van een willekeurige set van maatregelen die niet afgestemd is op het risicoprofiel en het bedrijfsbeleid hebben met ISO 27002 nu een alternatief. Er hoeft niet langer sprake te zijn van een schimmenspel en een woud van verwijten tussen beveiligers en het management. Er is een aanpak die past bij de beveiligingsbehoefte van de organisatie.
Deze aanpak kan in hoge mate gestandaardiseerd worden, waarbij in tegenstelling tot klassieke informatiebeveiligingsprojecten de nadruk niet ligt op de moeizame implementatie van onbegrepen maatregelen maar op de selectie van adequate maatregelen. Awareness en commitment zijn in deze aanpak geen probleem (zie ook ‘Informatiebeveiliging awareness voor management en gebruikers’.) Want de beveiligingsadviseur is een professionele dienstverlener, die in opdracht van de organisatie werkt.
Informatiebeveiliging is dan een volwassen bedrijfsproces dat structureel is ingebed in de organisatie.

Boeken in de categorie Informatiebeveiliging

• Internet Security
  Kees Hogewoning, Gerrit Th. Lith, Marco G. M. van der Kraan  

• ITIL Security Management [CD-ROM]  (Engels)
  Office of Government Commerce  

• Identity Theft Handbook  (Engels)
  Martin Biegelman  

• Managing the Human Factor in Information Security  (Engels)
  David Lacey  

• Information Security Management with ITIL V3  (Engels)
  Paul Overbeek, Louk Peters  

• Control and Security of E-Commerce  (Engels)
  Gordon Smith  

• Risicomanagement voor security- en facilitymanagers
  Cees Coumou  

• Information Security Management Advanced
  Ursula van den Eijk, John van Huijgenvoort, Peter Janssen  

• Network and Internet Security, Advanced – Compleet
  John van Huijgenvoort, Peter Janssen, Chris Kockelkoren, e.a.

Download:         

Gerelateerde artikelen:

1. ISO 27001 of ISO 27002 als norm voor uw informatiebeveiliging
2. Nu ook certificatieschema voor ISO 27002 beschikbaar
3. ISO 27002, de Code voor Informatiebeveiliging nader toegelicht

1. Niet de informatiebeveiliging maar het management staat centraal
2. Professionaliseren rapportage
3. Het risicoprofiel als stoplichtmodel
4. Onderliggende risico-inventarisatie
5. Vertrouwen in de aanpak 

1. Niet de informatiebeveiliging maar het management staat centraal

Dat informatiebeveiliging voor organisaties van cruciaal belang is, zal niemand ontkennen. Negeren van dit belang kan leiden tot ernstige reputatieschade. In feite is het met informatiebeveiliging net als met ICT. ICT was altijd en is ook nu nog een strategisch bedrijfsmiddel, maar bestuurders hebben zich nooit willen verdiepen in de technisch facetten van de ICT. Net zo willen bestuurders zich ook niet verdiepen in de finesses van informatiebeveiliging.
Vanuit het management gezien gaat het bij informatiebeveiliging maar om een drietal zaken: 

• Welke bedrijfsrisico’s lopen we?
• Hoe groot is de kans dat we schade oplopen?
• Wat moeten we nu besluiten om de risico’s te kunnen beheersen?

Er is geen manager in Nederland, die zich niet bewust is dat er risico’s bestaan. Dat er awareness gekweekt moet worden bij het management, is dus helemaal niet aan de orde. Maar vaak maken informatiebeveiligers niet op managementniveau inzichtelijk wat de risico’s zijn en wat er aan te doen valt. (Zie ook ‘Informatiebeveiligers verpesten iedere awareness’.) Informatiebeveiligingsplannen schitteren vaak door de tientallen of zelfs honderden maatregelen die erin genoemd worden. Iedere manager weet echter dat al die maatregelen onmogelijk allemaal werkend gemaakt kunnen worden en ook dat ze in ieder geval een aantal neveneffecten hebben: 

• De efficiency van de bedrijfsvoering wordt erdoor verminderd.
• Ze leiden tot irritatie, vooral bij loyale medewerkers.
• Echte veiligheid wordt met al die maatregelen niet bewerkstelligd.

Het is daarom geen wonder dat informatiebeveiliging niet de managementaandacht krijgt, die het verdient, ondanks dat managers en beveiligers dat wel graag willen. Kortom, er is dus sprake van een communicatiestoornis van de eerste orde.  

2. Professionaliseren rapportage

Wat eerder in de ICT gebeurde, gebeurt nu met betrekking tot informatiebeveiliging: het management krijgt er de schuld van dat informatiebeveiliging niet voldoende aandacht krijgt. Het management zou zich niet willen verdiepen in dit strategische issue. Natuurlijk is dat onzin. Het management wil gewoon kunnen vertrouwen op zijn adviseurs. Maar het wil, en moet zelfs, wel zelf de verantwoordelijkheid nemen voor zijn beslissingen en uiteraard prioriteiten stellen. Het management bestuurt immers de organisatie. En dat gaat over meer dan alleen informatiebeveiliging. Daarom zal de rapportage aan het management moeten verbeteren en daaraan gekoppeld zullen er voorstellen moeten komen, die passen in het bedrijfsbeleid.
Allereerst zullen daarom vanuit het management de beleidsuitgangspunten vastgelegd moeten worden. (Zie ‘ISO 27002 ‘lean en mean’ implementeren als security management systeem’.) Deze hebben niet alleen betrekking op wat er moet gebeuren, maar ook op wat er niet moet gebeuren en mogelijk op een prioriteitsstelling. De beleidsuitgangspunten vormen één van de drie pijlers onder het security management systeem.
De tweede pijler wordt uiteraard gevormd door het risicoprofiel van de organisatie en de derde bestaat uit de best practices die in ISO 27002 zijn beschreven. 

Figuur1: Implementatiemodel informatiebeveiliging

Op basis van deze drie pijlers wordt in overleg met het betrokken management het basisbeveiligingsniveau (BBN) gedefinieerd, zoals dit moet gelden voor de organisatie. Dit afgesproken beveiligingsniveau wordt aan de directie gerapporteerd, samen met de acties die nodig zijn om dit beveiligingsniveau te bereiken.  

3. Het risicoprofiel als stoplichtmodel

Het risicoprofiel wordt weergegeven op basis van twee variabelen. De eerste variabele is de noodzaak om de doelstelling te bereiken, zoals deze is ingeschat (zie ook ‘Voorbeeld vaststellen norm en basisbeveiligingsniveau op grond van ISO 27002 of 17799′) door het management en de materiedeskundigen van de organisatie (de afhankelijkheid). De tweede is de ernst (kwetsbaarheid), zoals deze in de huidige situatie is ingeschat door een externe deskundige. De basistabel ziet er dan als volgt uit: 

Figuur2: Basistabel risicoprofiel

Uiteraard zij er per gebied meerdere risico’s te onderkennen. In dit model is er voor gekozen per risicogebied de grootste dreiging weer te geven. In een bijlage wordt deze meer in detail uitgewerkt.
In onderstaand overzicht zijn een drietal meetpunten meegenomen: 

• de huidige situatie;
• de verwachte situatie na de uitvoering van dit project in Q4 – 2008;
• de verwachte situatie een jaar later in Q4 – 2009, vooral bereikt door de effecten op langere termijn van reeds nu getroffen maatregelen.

Deze prognoses worden opgesteld onder de aanname dat de voorgestelde maatregelen uit het actieplan inderdaad getroffen of gepland worden. 

Figuur3: Dreiging per risicogebied

Natuurlijk moet dit overzicht zodanig zijn, dat het management op grond daarvan beslissingen kan nemen en het verbeterproces in de tijd kan volgen. 

Opmerkingen:
De risicogebieden zijn de risicogebieden die ISO 27002 ook onderkent.
Naleving kan pas later zichtbaar worden na inrichting van de interne controle en de daadwerkelijke controles. 

4. Onderliggende risico-inventarisatie

Het item bedrijfscontinuïteitsbeheer kan op een onderliggend niveau als volgt zijn uitgewerkt: 

Figuur4: Onderliggende risico-inventarisatie

Dit is het niveau dat afgestemd is met de meer operationeel betrokkenen en waarvan de actielijst is afgeleid, waarvoor de budgetaanvraag gekoppeld aan de managementrapportage uit het vorige hoofdstuk is gedaan. Uiteraard krijgen de beslissers ook deze analyse opgestuurd, zodat ze eventueel de analyse achter de budgetaanvraag kunnen volgen. Meestal echter bekijken ze deze slechts met een korte blik. Voor het management is uiteraard alleen van belang te weten wat de kosten van de actie zijn. Zij kunnen deze dan vervolgens accorderen dan wel het risico accepteren. (Zie ook ‘Informatiebeveiliging awareness voor management en gebruikers’.) Voor wat betreft de certificering maakt dit praktisch gezien geen verschil. In control betekent immers, dat risico’s in kaart gebracht zijn en dat hierover adequate besluitvorming heeft plaatsgevonden.  

5. Vertrouwen in de aanpak

De voordelen van deze rapportagevorm zijn: 

• Het management krijgt een overzicht van de bedrijfsrisico’s gepresenteerd op 1 A4-tje, waarop het desgewenst verder kan inzoomen.
  Het proces van informatiebeveiliging is te monitoren en dus bij te sturen in de tijd.
• Verbeteracties zijn altijd gekoppeld aan onderkende bedrijfsrisico’s, waardoor overbodige maatregelen uitgesloten worden en het commitment voor de acties hoog is.

Door deze werkwijze te volgen, is het awareness probleem geen issue. Juist de koppeling tussen acties en onderkende bedrijfsrisico’s zorgt voor vertrouwen. Alleen als een informatiebeveiliger verder wil gaan dan het afdekken van risico’s, dan zal hij het vertrouwen snel verspelen.

Boeken in de categorie Informatiebeveiliging

• Internet Security
  Kees Hogewoning, Gerrit Th. Lith, Marco G. M. van der Kraan        

• ITIL Security Management [CD-ROM]  (Engels)
  Office of Government Commerce        

• Identity Theft Handbook  (Engels)
  Martin Biegelman        

• Managing the Human Factor in Information Security  (Engels)
  David Lacey        

• Information Security Management with ITIL V3  (Engels)
  Paul Overbeek, Louk Peters        

• Control and Security of E-Commerce  (Engels)
  Gordon Smith        

• Risicomanagement voor security- en facilitymanagers
  Cees Coumou        

• Information Security Management Advanced
  Ursula van den Eijk, John van Huijgenvoort, Peter Janssen        

• Network and Internet Security, Advanced – Compleet
  John van Huijgenvoort, Peter Janssen, Chris Kockelkoren, e.a.

Download:         

Gerelateerde artikelen:

1. ISO 27001 of ISO 27002 als norm voor uw informatiebeveiliging
2. ISO 27002, de Code voor Informatiebeveiliging nader toegelicht
3. Managementrapportage risicoprofiel informatiebeveiliging NEN 7510

1. Definitiebrij
2. De toegevoegde waarde van een normatieve auditor
3. Praktijkvoorbeeld
4. Auditing: een vak of wetenschap? 

1. Definitiebrij

Het vak van auditor heeft zich in de afgelopen jaren sterk ontwikkeld. De man of vrouw met het rode potlood is in veel gevallen uitgegroeid tot een waardevol klankbord voor het management.
Omdat veel auditors van oorsprong normatieve denkers zijn, behoeven de definities met betrekking tot auditing nu wel een bijstelling, om er vervolgens opnieuw een sticker op te kunnen plakken en natuurlijk om de beroepsgroep te beschermen.
Maar stickers of niet, een opdrachtgever zit vanwege de uitgebreide keuzemogelijkheden die hij heeft met betrekking tot auditing met de keuzestress. Zo kunt u bijvoorbeeld kiezen voor:

• een business consultant die uw bedrijf al goed kent en die eerder tot volle tevredenheid heeft geadviseerd; risico is, dat hij nu moet oordelen over zijn eigen adviezen;
• een gestickerde auditor; deze komt ongetwijfeld tot een objectief oordeel, maar vaak op een te operationeel niveau;
• een gerenommeerd bureau; uiteraard betekent dit dan nog niet, dat u een voor u goede auditor krijgt en u loopt het risico van interne koppelverkoop (Zie bijvoorbeeld ‘ERP-selectie en -implementatie: eerst van een muis een olifant maken en daarna omgekeerd’.);
• een buitenstaander wiens ideeën over het oplossen van voor u relevante probleemstellingen sterk overeenkomen met uw eigen ideeën; natuurlijk kunt u mogelijk deze ideeën gewoon zelf toepassen, maar in de praktijk ontbreekt vaak de ervaring en de routine om dit te doen. (Zie ook ‘Wat mogen bedrijven tegenwoordig van hun adviseurs verwachten?’.)

Bij uw keuze is het met name van belang wat u eigenlijk wilt bereiken.

1.1 Wil de opdrachtgever eigenlijk een audit?

De audit wordt in de praktijk vaak gebruikt. Maar waartoe nu precies? Volgens definities van Kocks (2003) heeft de audit de functie de blauwdruk van een organisatie te beoordelen, welke bestaat uit zaken als voorschriften, procedures en draaiboeken. In dit artikel willen we de functie van de audit tegen het licht houden. Daar de financial audit normatief moet zijn, laten we deze hier buiten beschouwing.
Om in een audit tot een oordeel te kunnen komen is volgens Kocks een toetsingsnorm of een set van normen nodig, waaraan de feitelijke situatie kan worden getoetst. De norm is dus nodig om er de werkelijkheid aan te spiegelen. Dit betekent dat voor iedere audit een model gemaakt moet worden waarin het auditobject, de organisatie dus, normatief beschreven is. Hiermee wordt verondersteld dat ieder auditobject uitputtend beschreven kan worden en dat deze beschrijving kan dienen als blauwdruk voor de inrichting. Een afwijking van de norm leidt tot een bevinding en moet gerapporteerd worden als verbeterpunt. Een normatieve benadering en het idee dat effectiviteit bereikt wordt door exact te voldoen aan een voorschrijvend model zijn dus de uitgangspunten.
Voor de manager ontstaat hiermee het volgende probleem: het beschikbaar hebben van zo’n model. Vaak wordt dit probleem opgelost door eenvoudigweg een bestaand model te pakken zoals een ISO-model (zie ‘ISO 27002, de Code voor Informatiebeveiliging nader toegelicht’), een INK-model (zie ‘Samenvatting INK-model’), de Code Tabaksblat ( zie ‘Corporate governance Tabaksblat en Sox: hemel of hel’) of regelgeving van toezichthouders enzovoort. Iedere manager echter weet, dat zijn werkelijkheid veel complexer is, dat hij met een generiek model nooit onderscheidend en dus concurrerend vermogen opbouwt en dat de zachte kant van de bedrijfsvoering met zo’n model niet in beeld wordt gebracht.
Elke manager zal ook de volgende situatie herkennen en zich daar geregeld in bevinden: ‘Het is niet volgens de regels en ik snap niet waarom het werkt, maar ik constateer in elk geval dat het resultaat boven verwachting is’. In zo’n situatie moet je natuurlijk niet proberen om personen of processen binnen de regeltjes te kneden, maar moet je zo mogelijk de regels verbeteren.
Dus zal de manager bij de keuze voor een auditor scherp op zijn netvlies moeten hebben wat hij wil:

• toetsing of het bestaande besturingsmodel van de organisatie (de blauwdruk in de vorm van voorschriften, procedures en draaiboeken) efficiënt en effectief is in het licht van de bedrijfsdoelen;
• inzicht krijgen in verbetermogelijkheden binnen de organisatie om ambities te kunnen realiseren, door eerst de haalbaarheid, de samenhang en de volledigheid van deze ambities te onderzoeken en hierop gebaseerde aanbevelingen.
• voorstellen krijgen voor een oplossing voor problemen of knelpunten binnen de organisatie, die met de huidige stuurmiddelen en competenties niet oplosbaar zijn; vaak is er dan sprake van een projectaudit, waarbij snel en effectief opgetreden moet worden.

In het eerste geval wil de manager zekerheid krijgen en in de laatste twee gevallen wil hij onzekerheid wegnemen. In het eerste geval verwacht een opdrachtgever een normatieve attitude bij de auditor. In de laatste twee gevallen is een klant- en oplossingsgerichte attitude noodzakelijk, waarbij de norm uit weinig meer bestaat dan een stipje aan de horizon.
Juist de attitude van de auditor is de grootste succesfactor om de opdrachtgever tevreden te stellen, en vele malen belangrijker dan kennis, vaardigheden en reputatie van de auditor of zijn bureau.
Het verschil in definitie tussen een auditor en een consultant stellen we hier niet aan de orde. In feite zouden beiden hetzelfde moeten doen: analyse en advies. Het verschil zit vaak in de attitude. Zo zal de beroepsgroep van auditors mij bijvoorbeeld adviseur noemen en zeker niet auditor. Maar dit artikel is niet geschreven voor auditors (die ik vanwege hun deskundigheid zeer hoog acht), maar voor opdrachtgevers, die bewust een auditor willen inzetten om hun doel te bereiken. (Zie ook ‘De moderne consultant: van pleaser naar teaser’.) 

2. De toegevoegde waarde van een normatieve auditor

Even terug naar de definitie van Kocks (2003). Hij stelt dat de audit de functie heeft de blauwdruk van een organisatie te beoordelen, welke bestaat uit zaken als voorschriften, procedures en draaiboeken. Gezien vanuit het normatieve denken is het essentieel dat het organisatiemodel juist en volledig wordt geïmplementeerd door de voltallige organisatie. De audit geeft het management hierover zekerheid. De auditor levert met deze zekerheid zijn grootst mogelijke toegevoegde waarde. Daar waar (een deel van) de organisatie zich niet houdt aan het model moet verandering van sturing plaatsvinden, zodat men zich er wel aan houdt. Een andere optie is het vervangen van het subsysteem door een beter subsysteem. Zo blijft de organisatie in control en zal er niets mis gaan. Zo zal de organisatie volgens het management haar doelen halen.

2.1 Pas toe of leg uit

Traditioneel gezien is dit juist. Maar zelfs de opstellers van normen zoals de ISO-normen zien de betrekkelijkheid van hun norm. Daarom zien we in deze normen steeds vaker in de titel verschijnen: ‘Code of practice for ……..’ en zien we in het voorwoord zinsnedes als: ‘Niet alle maatregelen die in dit document zijn beschreven, zijn van toepassing op elke willekeurige situatie. De norm dient dan ook niet te worden geciteerd als ware het een specificatie.’
Ook steeds vaker komen we tegenwoordig de vuistregel ‘Pas toe of leg uit’ tegen. Dat wil zeggen dat je een maatregel toepast, tenzij er redenen zijn om ervan af te wijken. In dat geval dient gemotiveerd te worden, waarom de regel niet wordt toegepast. Dat betekent, dat de organisatie nog steeds systematisch beoordeeld kan worden, maar dat zij kan besluiten om maatregelen niet of anders te implementeren. Vaak liggen hieraan bedrijfseconomische redenen ten grondslag (men besluit om maatregelen niet te implementeren) of samenhang met andere projecten of plannen (men besluit dan meestal om maatregelen later te implementeren). (Zie ook ‘Hoe 400 maatregelen terugbrengen naar hooguit 20′.)

2.2 Riskdriven benadering

Niet de maatregelen of een baseline vormen dus het uitgangspunt voor de eerste stap in het auditproces: het vaststellen van de eisen, maar de behoefte van de organisatie. (Zie ook ‘Informatiebeveiliging: geen verantwoordelijkheid maar aansprakelijkheid!’.) ISO noemt een aantal bronnen waaruit geput kan worden:

• risicobeoordeling binnen de organisatie;
• wet- en regelgeving en contractuele eisen;
• eigen stelsel van uitgangspunten, doelstellingen en eisen.

Zo nodig moeten beleidsdocumenten aangepast en weer formeel goedgekeurd worden, om te voorkomen dat later op maatregelniveau het principe van ‘pas toe of leg uit’ moet worden uitgewerkt. Bovendien draagt dit bij een latere audit bij aan een positieve beoordeling van de noodzakelijke managementbetrokkenheid.
Tijdens de tweede stap worden de behoeften en eisen op wenselijkheid en haalbaarheid beoordeeld.
De derde stap is dan het matchen van de behoeften met de maatregelen, waarbij in de praktijk per maatregel wordt bekeken:

• de wenselijkheid;
• of de maatregel al geïmplementeerd en werkend is;
• de kosten en baten van de maatregel;
• de timing van de invoeringsdatum.

2.3 De rol van de auditor

Al voordat het besluit genomen wordt om een norm in te voeren, is er voor de auditor een rol weggelegd. Zeker als er een norm wordt opgelegd, zou de auditor in dit stadium een belangrijke rol moeten spelen. Hij kan namens het management beoordelen of de norm in zijn geheel nuttig is en op welke wijze omgegaan moeten worden met het invoeringstraject. Hierbij gaat het dan niet om de inhoud van de norm, maar om de impact van de norm op de organisatie en het te verwachten nut. Juist dat is voor een normatief denkende auditor vanzelfsprekend moeilijk te beoordelen.
Het spreekt vanzelf, dat de beoogde auditor zelf niet verantwoordelijk is voor het opstellen van de norm. Wel moet hij beschikken over kennis van normen. Want hoewel er vanuit de businessdoelstellingen gezien, geen overbodige maatregelen moeten worden geïmplementeerd, is het vaak wel verstandig om de conclusies waarop de maatregelen zijn gekozen, te laten valideren door een auditor. De auditor kan in dit stadium dan optreden als klankbord voor het management, met name om zijn feedback te geven, daar waar afgeweken wordt van de maatregelen in de norm en om te beoordelen of dat voldoende wordt gestaafd met een uitleg. Om iedere vermoeden van belangenverstrengeling te voorkomen, zal een normatief denkende auditor hier waarschijnlijk niet aan mee willen werken. Dat zo’n auditor dan wel de opdrachtgever in de kou laat staan, wordt meestal niet beseft.
Tenslotte zal een auditor ingeschakeld worden voor het beoordelen van de norm en haar werking. Een normatief denkende auditor begint doorgaans bij de voorgestelde maatregelen en zal proberen de uitleg voor de afwijkingen te ondergraven. Dit echter wordt hij niet geacht te doen. De beslissing van en de redenen voor de opdrachtgever om dit traject in de gaan inclusief de hierbij gehanteerde uitgangspunten behoren zijn norm te zijn. Normatieve auditors hebben hiermee echter vaak grote moeite. Het is dan ook niet vreemd, dat auditors veelal nog steeds gezien worden als die man of vrouw met dat rode potlood en niet als volwaardig klankbord met een hoge toegevoegde waarde voor het management. 

3. Praktijkvoorbeeld

Als praktijkvoorbeeld nemen we een organisatie die in de situatie verkeert, dat de continuïteit in gevaar is vanwege onvrede bij klanten, die nu nog vallen onder een gedwongen winkelnering. Tegelijkertijd heeft de overheid of een toezichthouder bepaald, dat deze organisatie gecertificeerd moet zijn volgens ISO-norm 27002 (=17799). Vanuit bedrijfsperspectief liggen dan de volgende uitgangspunten voor de hand:

• De implementatie mag vrijwel niets kosten, om de interne kosten en dus de tarieven voor de klanten niet te laten stijgen.
• Maximale informatievoorziening aan de klanten is noodzaak.
• Beveiligingsincidenten met als gevolg imagoschade moeten voorkomen dan wel goed gemanaged worden.

Een gegeven is, dat zich in de afgelopen tien jaar geen beveiligingsincident heeft voorgedaan, met aanzienlijke schade als gevolg.
Het bedrijf heeft gekozen voor de policy het huidige stelsel van maatregelen als de norm te definiëren. Alleen daar waar sprake is van veranderde omstandigheden of waar het risico bestaat op aanzienlijke imagoschade, wordt ingezoomd. Uiteraard worden bovengenoemde uitgangspunten verwerkt in het statuut informatiebeveiliging.
De adviseur voert de exercitie conform deze uitgangspunten uit. Dus niet de maatregelen van ISO 27002 zijn de norm, maar de genoemde bedrijfsuitgangspunten. (Zie ook ‘ISO 27002 ‘lean en mean’ implementeren als security management systeem’.)
De eerste stap is het inventariseren van de risico’s en de impact van de risico’s. Vervolgens wordt een risico analyse uitgevoerd volgens een geaccepteerde methodiek, gebaseerd op business impacts. (Zie voor de uitwerking hiervan ‘Voorbeeld Rapport Risico Analyse Informatiebeveiliging’.) Hierna wordt de behoefte gematcht met de maatregelen in een gap-analyse, waarbij niet alleen gekeken wordt naar de gaps maar ook naar de toegevoegde waarde van de maatregelen. (Zie ook: ‘Voorbeeld vaststellen norm en basisbeveiligingsniveau op grond van ISO 27002 (=17799)’.)
De uitkomst van deze exercitie ten opzichte van de huidige situatie was, dat een zestal maatregelen geïmplementeerd moesten worden en dat een vijftal risico’s gezien hun business impact door de directie werden geaccepteerd.
Dat intensief overleg met de interne auditor nodig was, spreekt voor zich. Maar nadat hij zijn normatieve benadering had afgelegd, kwam het tot een goede en vruchtbare samenwerking tussen de consultant en de auditor, zonder dat de auditor hierbij genoodzaakt werd om een rol te vervullen, die zijn onafhankelijkheid zou schaden. 

4. Auditing: een vak of wetenschap?

Wil een auditor tegenwoordig goed kunnen functioneren en voldoende toegevoegde waarde kunnen leveren, dan zal hij moeten opschuiven naar de opdrachtgever. Niet de norm is zijn baas, maar de opdrachtgever, of beter gezegd: de opdrachtgever bepaalt de norm, veelal op basis van een bestaande set van ‘best practices’. Pas als deze zijn vertaald tot de normenset van de opdrachtgever, dan kan deze normatief gehanteerd worden. Tot die tijd is normatief denken uit den boze. Normatief denkende auditors zullen dan ook in hoog tempo terrein verliezen aan de klantgericht denkende auditors of adviseurs.
Iedere opdrachtgever krijgt natuurlijk de auditor die hij verdient. Als de opdrachtgever weigert om zelf de norm vast te stellen, dan heeft de auditor geen andere keuze dan normatief te handelen. Helaas zien we in zo’n situatie vaak, dat de chemie ontbreekt en de toegevoegde waarde van de auditor niet of nauwelijks opweegt tegen zijn kosten.

Boeken in de categorie Informatiebeveiliging

• Internet Security
  Kees Hogewoning, Gerrit Th. Lith, Marco G. M. van der Kraan        

• ITIL Security Management [CD-ROM]  (Engels)
  Office of Government Commerce        

• Identity Theft Handbook  (Engels)
  Martin Biegelman        

• Managing the Human Factor in Information Security  (Engels)
  David Lacey        

• Information Security Management with ITIL V3  (Engels)
  Paul Overbeek, Louk Peters        

• Control and Security of E-Commerce  (Engels)
  Gordon Smith        

• Risicomanagement voor security- en facilitymanagers
  Cees Coumou        

• Information Security Management Advanced
  Ursula van den Eijk, John van Huijgenvoort, Peter Janssen        

• Network and Internet Security, Advanced – Compleet
  John van Huijgenvoort, Peter Janssen, Chris Kockelkoren, e.a.

Download:         

Gerelateerde artikelen:

1. Normatief denken is dodelijk voor de klantgerichtheid
2. Code-Tabaksblat zegen voor interne auditor en accountant
3. ISO 27002 ‘lean en mean’ implementeren als security management systeem

1. Recessie? Tijd voor nieuwe plannen
2. ICT-bedrijven onder vuur
3. Laten we vooral niet dramatisch doen
4. Wat is úw antwoord op de recessie?

1. Recessie? Tijd voor nieuwe plannen

Iedereen is het erover eens: als de kredietcrisis bezworen is, dan krijgen we weer te maken met een echte recessie. Niet zo’n twijfelachtige dip als bij het knappen van de internetzeepbel. Die had nauwelijks invloed op de investeringen binnen bedrijven. Nu een serieuze recessie. Bedrijven zullen immers hun investeringsplannen maar zeer moeilijk gefinancierd krijgen. Banken en andere geldschieters zijn nauwelijks nog bereid om kredietrisico’s te lopen. En als er toch nog een krediet kan worden losgepeuterd, dan zijn de financieringskosten in elk geval hoger dan enkele jaren geleden. Kortom, investeringsvoorstellen zullen de komende jaren aan de directietafel met de nodige achterdocht worden bekeken. Ze zullen alleen nog worden goedgekeurd, als er een heldere businesscase tegenover staat, die bovendien geloofwaardig moet zijn. En gezien de ervaringen die bedrijven hebben met het rendement op hun ICT-investeringen, is het zeker niet te verwachten, dat investeringsvoorstellen op ICT-gebied de komende jaren hoog zullen scoren. (Zie ook ‘ICT-bedrijven zijn uitblinkers in het leveren van onprofessionele services’.)

2. ICT-bedrijven onder vuur

Naar verwachting zal de recessie in de VS het hardst toeslaan. Daarom zijn ICT-bedrijven uit India snel bezig gegaan hun jachtterrein te verleggen naar Europa. Zelfs nu de lonen in Azië hoger worden, kunnen zij nog ruimschoots concurreren met de Europese ICT-dienstverleners. Zeker nu deze bedrijven hun investeringen willen terugschroeven. Want dan zijn voorspelbare vaste kosten door het afnemen van offshore outsourcing te prefereren boven investeringen. Zeker als met offshore outsourcing ook nog eens besparingen gerealiseerd kunnen worden. Bovendien wordt offshore outsourcing voor grotere klanten, die hun demand management adequaat hebben ingericht, steeds meer een commodity waaruit zo langzamerhand de aanvankelijke kinderziekten zijn verdwenen.
Kortom, veel ICT-dienstverleners die tot nu toe alleen maar het raam hoefden openzetten om ‘uren’ te verkopen of hardware uit te leveren, zullen te maken krijgen met een fikse windstilte. (Zie ook ‘Succes moet je willen afdwingen, zelfs in tijden dat het je lijkt aan te waaien’.) En deze zal harder aankomen dan de recessie in het begin van dit decennium. Toen viel er alleen een aantal bedrijven om, die wat al te creatief waren geweest met hun boekhouding en bleef de recessie grotendeels beperkt tot de ICT- en telecomsector. Buiten deze sector waren er nauwelijks redenen om de investeringen te beperken. Dat werd ook niet echt gedaan. ICT-bedrijven met een laag kostenniveau konden deze dip dan ook gemakkelijk overleven en vervolgens hun ‘business as usual’ voortzetten. Nu echter lijkt een brede economische recessie op komst, die veel klanten van ICT-bedrijven gaat treffen. De tactiek van ’stilzitten als je geschoren wordt’ zal nu waarschijnlijk niet voldoende zijn om te overleven.

3. Laten we vooral niet dramatisch doen

Er is echter geen enkele reden om deze situatie te dramatiseren. Het is alleen tijd om de uitdaging op te pakken en in te spelen op de situatie. Er zijn tenslotte al lang oplossingen voor handen. Meestal hebben ICT-dienstverleners echter niet de moeite genomen om ze in te bakken in hun dienstverlening. (Zie ook ‘Ziet uw businessmodel voor ICT-dienstverlening er nog steeds zo uit als 5 jaar geleden?’.)
De twee belangrijkste bedreigingen zijn bottomline:

• het feit dat klanten niet meer willen investeren in ICT;
• concurrentie door offshore outsourcing.

Laten we deze bedreigingen eens tegen het licht houden.

3.1 Klanten willen niet meer investeren in ICT

Nu is de situatie zo, dat klanten investeren in ICT en dat ICT-bedrijven hier risicoloos op inspelen door te leveren wat de klant vraagt. Logistiek gezien gaat het om levering op order en de oplossing voor de klant wordt pas ontworpen als de order binnen is. Winst wordt gemaakt door een marge te zetten op de kosten die gemaakt worden.
Het alternatief hiervoor bestaat. ICT-bedrijven ontwerpen en produceren op voorraad (veel goedkoper) en slechts de assemblage (implementatie) wordt klantspecifiek gedaan. De businesscase is een leaseconstructie. De klant betaalt voor het gebruik van de dienst en is zo in één klap af van zijn probleem om te moeten investeren. Het risico verschuift daarmee naar de ICT-leverancier, maar als hij een succesvolle dienst heeft ontwikkeld, dan is zijn marge ook veel hoger. We praten dan over dienstverleningsconcepten als managed services, Business Process Outsourcing (BPO) of Software as a Service (SaaS).
Twee zaken zijn hiervoor van belang (zie ook ‘Zo bent u binnen een half jaar een winstgevende ICT-dienstverlener’):

• De ICT-leverancier moet snappen waar de markt behoefte aan heeft, want er is schaalgrootte nodig voor winstgevendheid.
• Door operational excellence kan de ICT-dienstverlener voorkomen, dat de eerste de beste concurrent hem uit de markt drukt, omdat hij een betere prijs/prestatie kan leveren.

De grote valkuil is, dat de sales van ICT-bedrijven net als vroeger alles op ICT-gebied verkopen wat de klant wil, waardoor het voordeel van de standaardisatie en schaalgrootte om zeep worden geholpen. (Zie ook ‘U heeft de verkeerde sales in dienst als ze beter kunnen luisteren dan praten’.)

3.2 Concurrentie door offshore outsourcing

De dreiging van verhoogde concurrentie vanuit Azië is reëel. Deze dreiging is echter minder groot dan vaak gedacht wordt. Als het gaat om commodities als vernieuwbouw, helpdeskactiviteiten enzovoort dan valt er nauwelijks te concurreren met bedrijven uit India of China. Maar als het gaat om diensten waarbij meer communicatie nodig is of zwaar demand management, dan is offshore outsourcing vaak nauwelijks een oplossing. In de praktijk is het eigenlijk alleen een echte oplossing voor multinationals. Puur Nederlandse organisaties lopen al gauw aan tegen praktische problemen als tijd-, taal- en cultuurverschillen. Ook missen ze vaak professioneel demand management. Tevens ontbreekt de schaalgrootte om het voor de offshore ICT-dienstverleners interessant te maken om te investeren in standaardisatie.
Voor Nederlandse ICT-dienstverleners blijft dan ook de totale markt minus misschien de top 100 van Nederlandse bedrijven over. En in die top 100 valt toch het minst te verdienen. Die vraagt om een totaal gestandaardiseerd pakket en heeft de inkoopkracht om de marges voor de ICT-bedrijven te minimaliseren. Juist buiten de top 100 wordt meer gevraagd om toegevoegde waarde van de ICT-leverancier. Daar zijn innovatie van de dienstverlening, toegevoegde waarde en flexibiliteit nog items die er toe doen (Zie ook ‘Outsourcing van werkplekbeheer is meer dan kostenbesparing alleen’.) Door niet te kiezen voor een exotische ICT-dienstverlener, kunnen deze voordelen vaak veel beter gerealiseerd worden, mits de Nederlandse dienstverlener natuurlijk wel de gewenste diensten met operational excellence kan leveren, zonder de klant op te zadelen met allerlei investeringen.

4. Wat is úw antwoord op de recessie?

Het antwoord op de recessie is dus eigenlijk van alle tijden, al is het in de ICT-sector relatief nieuw: denk na over de behoeften van uw klant en zet hier een dienst tegenover met toegevoegde waarde voor de klant. Dus niet het zoveelste technologische speeltje dat de klant moet kopen om het vervolgens zelf verder maar uit te zoeken, maar gewoon een dienst die de klant kan gebruiken en waarvoor hij niet meer kennis van de technologie nodig heeft dan om de stekker van een televisie in het stopcontact te kunnen steken. (Zie ook ‘SaaS is voor de gebruiker meer dan alleen stroom uit het stopcontact’). Dan is de gebruiker graag bereid voor uw dienst te betalen, zoals hij ook bereid is te betalen voor de huur van programma’s, dvd’s en video’s; hij hoeft dan immers niet meer te investeren.
Zoals gezegd is deze vorm van dienstverlening niet ingewikkeld. De modellen hiervoor liggen zelfs al op de plank. Direct bruikbaar voor dienstverleners die snappen, dat slechts ‘recurring business’ zoals SaaS, managed services en BPO weinig gevoelig zijn voor schommelingen in de conjunctuur. (Zie ook ‘ICT Service Delivery is gebaseerd op pro-actief Service Management’.)
De belangrijkste stap in dit proces is, dat u zich moet realiseren, dat het in de markt zetten van ICT-diensten niet primair een verkooptruc is, maar van u ‘operational excellence’ vereist. Want u denkt toch niet dat u minder bent dan al die andere ICT-bedrijven?

Download:         

Gerelateerde artikelen:

1. Recessie dwingt ICT-bedrijven tot herziening SWOT-analyse
2. Grieppandemie: kans of bedreiging voor uw business continuity
3. Succes moet je willen afdwingen, zelfs in tijden dat het je lijkt aan te waaien

1. Informatiebeveiligers op een eiland
2. Accountant ziet spoken
3. Outsourcing ‘out of control’
4. Geen risico’s uitsluiten maar beheersen 

1. Informatiebeveiligers op een eiland

Momenteel staat het elektronisch patiëntendossier (EPD) ter discussie. Opvallend daarbij is dat diverse, vaak zelfs gerenommeerde partijen zodra het gaat om de beveiliging zich bedienen van halve waarheden, van pertinente onwaarheden en van stemmingmakerij. (Zie ook ‘Communicatiedrama bedreigt invoering EPD’.) Is er misschien eerst een soort van crisis als de kredietcrisis nodig, om helder te maken dat informatiebeveiliging zich steeds meer op een eiland gaat afspelen, waarbij het contact met de echte wereld verloren gaat?
Natuurlijk hebben informatiebeveiligers gelijk als zij zeggen, dat er inbreuk gemaakt kan worden op welke vorm van beveiliging dan ook. De enige dataopslag die veilig is, bevindt zich op een computer die geen verbindingen heeft met de buitenwereld, die staat in een kluis waarvan men de toegangscode is vergeten en die bovendien uit staat. Zo’n computer heeft natuurlijk nog weinig nut. Maar toch lijkt dit voor informatiebeveiligers vaak wel de norm te zijn en alles wat niet aan deze norm voldoet zien zij per definitie als een risico.
Als van informatie gebruik gemaakt wordt, bestaat in de echte wereld honderd procent beveiliging niet. Risico’s naar nul terugbrengen is per definitie onmogelijk. Vanuit bedrijfseconomisch perspectief is het vaak ook ongewenst. (Zie ook ‘Informatiebeveiliging: van onbewust risico lopen naar bewust risico nemen’.) Informatiebeveiliging moet erop gericht zijn risico’s te managen. Dan alleen kan informatiebeveiliging een bijdrage leveren, die waardevol is voor bedrijven.
Vooral accountants jagen bij hun jaarlijkse controles bedrijven vaak angst aan. Zij constateren een mogelijk lek in de beveiliging en nemen dit dikwijls ongenuanceerd op in hun rapportages. Vervolgens geven de commissarissen de directie opdracht om deze lekken te dichten. Onlangs kreeg ik weer twee schrijnende voorbeelden van dit probleem onder ogen, die ik u niet wil onthouden. 

2. Accountant ziet spoken

Het eerste voorbeeld betreft een scholengemeenschap, waar door een groot Nederlands accountantsbureau een risicoanalyse (nulmeting) is uitgevoerd. Belangrijk onderdeel van de managementsamenvatting was onderstaand  plaatje, waarop de huidige status van de informatiebeveiliging werd weergegeven:

Figuur 1: Status van de informatiebeveiliging

Het paarse deel geeft aan wat de norm is (100 %), terwijl in geel is aangegeven welke bevindingen er gedaan zijn. Deze school kreeg rapportcijfers variërend van 2 tot 3, ofwel gemiddeld zwaar onvoldoende.
Uiteraard ging deze samenvatting vergezeld van een hoeveelheid aanbevelingen waarbij tevens, uitgedrukt in een stoplichtmodel, de urgentie van deze aanbevelingen werd aangegeven:

Figuur 2: Stoplichtmodel

Gezien het rapportcijfer ligt het voor de hand, dat rood de dominante kleur is.
Met verbazing heeft de schooldirectie de presentatie van deze uitkomsten aangehoord. Nog nooit had zich een ernstig beveiligingsincident op de school voorgedaan. Hoe is het mogelijk dat alle stoplichten dan nu op donkerrood blijken te staan? 

3. Outsourcing ‘out of control’

Bij een klein administratiekantoor PPPP, dat zijn ICT vrijwel volledig heeft uitbesteed, kwamen we de volgende bevindingen en aanbevelingen tegen in het rapport van de externe accountant.

“PPPP heeft vanaf eind 2006 het technisch en functioneel beheer van de bedrijfsapplicaties uitbesteed. Wij bevelen de directie van PPPP aan om inzicht te verkrijgen in de betrouwbaarheid van de bedrijfsprocessen van de leveranciers door een SAS70 verklaring te vragen of door het initiatief te nemen om een externe security audit uit te laten voeren. Betreffende de continuïteit van de primaire processen hebben wij vastgesteld, dat PPPP geen gedocumenteerd plan heeft dat bij calamiteiten gevolgd kan worden, dit teneinde het bedrijfsproces tijdig te kunnen hervatten. Voorts bevelen wij u aan een Escrow-overeenkomst af te sluiten ten aanzien van de bedrijfskritische applicaties en de in bewaring gegeven broncode periodiek te laten controleren door een externe auditor.”

Het lijkt erop dat deze accountant niet begrijpt, dat de beveiliging van een datacenter vele malen beter is dan de beveiliging die een kleine organisatie zich kan permitteren en dat de standaardsoftware met veel klanten een zodanige waarde vertegenwoordigt voor de leverancier, dat een Escrow-overeenkomst volstrekt overbodig is. Gewone contracten met de leveranciers bieden voldoende zekerheid over de betrouwbaarheid van de processen bij de leveranciers, zodat het echt niet nodig is voor dit administratiekantoor om de black box bij de leveranciers te openen. Ook het calamiteitenplan is in feite onzin; er is geen sprake is van kritische bedrijfsprocessen die tegelijkertijd ook tijdkritisch zijn.
Onder druk van de commissarissen is de directie van het administratiekantoor er uiteindelijk maar mee akkoord gegaan, een calamiteitplan op te stellen. Maar wel een calamiteitplan op basis van een zeer pragmatische aanpak, omdat er immers geen sprake is van een noemenswaardig bedrijfsrisico. 

4. Geen risico’s uitsluiten maar beheersen

Misschien heeft u vergelijkbare ervaringen met informatiebeveiligers of accountants. Zij wekken de suggestie dat u pas rustig kunt slapen als uw beveiliging 100% is. Per definitie is 100 % beveiliging echter onmogelijk en is hier dus sprake van een schijnzekerheid. Echter alles wat niet aan de norm van 100% voldoet, noemen zij een risico. Het begrip bedrijfsrisico, zoals dit in de echte wereld geldt, lijkt hun totaal vreemd te zijn. Informatiebeveiliging is een ‘operational risk’ en moet als zodanig ook behandeld worden. Auditors horen in dit kader geen schoolmeesters maar dienstverleners te zijn. (Zie ook ‘Mag een auditor nog wel normatief denken?’.)
Vroeger, toen alleen nog de ISO 17799-norm bestond, kon dit misverstand gemakkelijk voortleven. Nu echter, met de ISO 27002-norm als opvolger van ISO 17799 als niet-normatieve norm naast de normatieve ISO 27001-norm, is ieder misverstand hierover uitgesloten en is ook certificatie volgens de ISO 27002-norm mogelijk. Voor bedrijven waarvoor informatiebeveiliging geen ‘core business’ is, is ISO 27002 ruim voldoende, want hierbij is sprake van actief risicomanagement. (Zie ook ‘ISO 27002 ‘lean en mean’ implementeren als security management systeem’.)
De meeste cursussen voor informatiebeveiligers zijn gericht op de certificering van de informatieveiliger zelf, met vaststaande eisen. Veel informatiebeveiligers blijven daardoor vasthouden aan de normatieve benadering. Het zou beter zijn informatiebeveiligers op te leiden om organisaties te begeleiden bij het inrichten van hun informatiebeveiliging conform de niet normatieve ISO 27002-benadering en dus de persoonlijke certificering te vervangen door de certificering van de organisatie. (Zie bijvoorbeeld ‘Cursus Informatiebeveiliging voor middelgrote organisaties conform ISO 27002′.) Daarmee kunnen voorbeelden zoals in dit artikel beschreven, worden voorkomen en zullen de geloofwaardigheid en het praktisch nut van de informatiebeveiliging voor organisaties en hun directies sterk verhoogd worden.

Boeken in de categorie Informatiebeveiliging

• Internet Security
  Kees Hogewoning, Gerrit Th. Lith, Marco G. M. van der Kraan  

• ITIL Security Management [CD-ROM]  (Engels)
  Office of Government Commerce  

• Identity Theft Handbook  (Engels)
  Martin Biegelman  

• Managing the Human Factor in Information Security  (Engels)
  David Lacey  

• Information Security Management with ITIL V3  (Engels)
  Paul Overbeek, Louk Peters  

• Control and Security of E-Commerce  (Engels)
  Gordon Smith  

• Risicomanagement voor security- en facilitymanagers
  Cees Coumou  

• Information Security Management Advanced
  Ursula van den Eijk, John van Huijgenvoort, Peter Janssen  

• Network and Internet Security, Advanced – Compleet
  John van Huijgenvoort, Peter Janssen, Chris Kockelkoren, e.a.

Download:         

Gerelateerde artikelen:

1. Informatiebeveiligers verpesten iedere awareness
2. Moeten alle MKB-bedrijven in Nederland zich druk maken over terrorisme
3. Mag een auditor nog wel normatief denken

1. Informatiebeveiliging ‘down to earth’
2. Omgaan met risico’s in plaats van bedreigingen
3. Proactief afdekken van risico’s
4. Balans tussen risico, beleid en veiligheid 

1. Informatiebeveiliging ‘down to earth’

Leest u ook geregeld artikelen in vakbladen, en dan met name in ICT-vakbladen, over de dreigingen waaraan u uw informatievoorziening blootstelt als u uw informatiebeveiliging niet serieus neemt? Consultants storten deze problematiek nu al jarenlang over ons uit. Vrijwel altijd gaat het over ongrijpbare incidenten, waarvan niemand precies weet hoe ze in elkaar steken en zeker niet wat er aan gedaan moet worden. (Zie ook ‘ICT-ers zo gek maken met beveiligingsissues, dat ze in de beveiligingsellende gaan geloven’.)
Waarschijnlijk haalt u geïrriteerd uw schouders op als beveiligers of ICT’ers u verwijten dat u informatiebeveiliging niet serieus neemt en dat het u ontbreekt aan awareness. Want u neemt informatiebeveiliging wel serieus. Maar net zoals u niet iedere dag stil staat bij alle enge ziektes die een mens kan krijgen, zo staat u ook niet iedere dag stil bij alle incidenten die zich op het gebied van informatiebeveiliging kunnen voordoen. En net zoals u ervan uitgaat dat u die enge ziektes niet zult krijgen, zo gaat u ervanuit dat u niet met die incidenten te maken krijgt. Wat die ziektes betreft, ook al staat u er niet voortdurend bij stil dat u ziek kunt worden, u neemt uw gezondheid natuurlijk wel serieus. U weegt risico’s af. Als het vriest trekt u een jas aan om te voorkomen dat u kou vat. Als u een verdieping naar beneden wilt, dan springt u niet, maar neemt u de trap om niet het risico te lopen, dat u een been breekt. Als u last heeft van hoge bloeddruk, dan slikt u een pilletje om een hartaanval te voorkomen. U eet gevarieerd en gezond om voldoende weerstand op te bouwen in uw lichaam. En als u toch ziek wordt, dan gaat u naar de dokter. In de meeste gevallen kan die u helpen weer beter te worden. Informatiebeveiligers echter eisen van u dat u alle enge ziektes op het gebied van informatiebeveiliging kent en dat u zich hier stuk voor stuk bij voorbaat tegen wapent. Maar dat is onzin, zoals u kunt lezen in het artikel ‘Informatiebeveiligers verpesten iedere awareness’. 

2. Omgaan met risico’s in plaats van bedreigingen

Net zoals u van allerlei ziektes niet weet wat ze nu precies inhouden en van uw auto niet weet, hoe u deze moet onderhouden, zo weet u ook niet van uw ICT-middelen hoe deze precies werken en wat er mogelijk mis mee kan gaan. En dat is prima, zolang u maar geen onverantwoorde risico’s neemt.
Als u in de auto stapt weet u heus wel wat wel en niet kan, ook al kent u niet alle verkeersregels. U weet globaal wat onverantwoorde risico’s zijn. U weet dus ook dat u:

• geen 120 km/u moet rijden in de bebouwde kom;
• niet tegen de stroom in moet rijden op de snelweg;
• niet met uw auto over fietspaden moet scheuren;
• niet zelf aan uw auto moet knutselen als u pech heeft, maar hiervoor de vakman moet bellen.

Voor ICT en informatiebeveiliging ligt dit niet anders. Als u uw ICT-middelen gebruikt zoals ze bedoeld zijn en u zich aan de regels houdt, dan zijn de risico’s klein en dus acceptabel. Zoals u ook een acceptabel risico loopt als u in de auto stapt of als u gaat vliegen.
De ideale situatie is, dat u werkt op een standaardwerkplek in het gebouw van uw organisatie. Zo’n situatie is standaard voor uw ICT-afdeling en de informatiebeveiliging. U mag er vanuit gaan, dat uw ICT-afdeling deze situatie ‘in control’ heeft. En als dit niet het geval is, dan mag u er vanuit gaan dat uw ICT-afdeling de oplossing heeft om met een minimum aan schade incidenten en calamiteiten te managen. Zo werkt dat ook bij een dreigende griepepidemie. Dat mensen ziek worden, wordt deels voorkomen door het geven van een griepprik aan risicogroepen en voor de rest is er een oplossing voor het geval mensen wel geïnfecteerd raken.
In de standaardsituatie loopt u dus geen risico, tenzij u vanaf uw werkplek risico’s neemt zoals:

• gevoelige informatie weggeven via internet door het actief invullen van formulieren (bedrijfsinformatie of creditcard gegevens);
• een virus of spyware binnenhalen door onzorgvuldige mailafhandeling of downloadgedrag via een onbeveiligde computer;
• data overbrengen op een ander opslagmedium (papier, USB-sticks laptop, mobiele werkplek, thuiswerkplek enzovoort); in dat geval wordt u geacht u er bewust van te zijn, dat u hiermee een risico loopt, dat uzelf moet afdekken.

Genoemde risico’s neemt u meestal uit efficiency overwegingen. Daar is niets op tegen, mits u zich ervan bewust bent dat u deze risico’s loopt en er ook naar handelt. (Zie ook ‘Informatiebeveiliging: van onbewust risico lopen naar bewust risico nemen’.) Als ICT’ers en informatiebeveiligers het een probleem vinden, dat u deze risico’s neemt, dan zullen zij daar proactief op moeten inspelen. 

3. Proactief afdekken van risico’s

Als een bedrijf uit efficiency overwegingen vindt, dat managers en medewerkers deze risico’s moeten nemen, dan zullen ze dit proactief moeten faciliteren. Niet alleen door het opstellen van een gedragscode voor alle interne en externe medewerkers, maar ook door het treffen van maatregelen voor gebruik van data buiten de standaardwerkplek. Hiervoor zijn tal van mogelijkheden zoals:

• een VPN voor het werken op afstand;
• serverbased computing voor het werken op afstand;
• uitgifte van beveiligde media zoals laptops voor het werken op afstand inclusief virus- en malware protectie;
• encryptie op laptops en USB-sticks om data op externe media te beschermen.

ICT-middelen op afstand worden van oudsher vaak beschouwd als privébezit van medewerkers en managers. Vaak was dit ook het geval. Dat betekent echter niet dat de medewerkers en managers het onderhoud en het beheer van deze middelen zelf moeten doen. Als het om de auto gaat, gaan we ervan uit dat de overheid met adequate regelgeving komt en deze ook bewaakt en dat we het onderhoud kunnen uitbesteden aan de garage, die bij een beurt wel meldt welk additioneel onderhoud noodzakelijk is. Met informatiebeveiliging is dit niet anders. Natuurlijk zijn medewerkers en managers zelf verantwoordelijk, maar daarbij moeten ze wel adequaat worden ondersteund door specialisten, die up-to-date risico’s voor hen afdekken.
Een voorbeeld van hoe het niet moet geeft minister Eurlings. Hij geeft aan dat er een hamertje in een auto aanwezig moet zijn, dat voor alle inzittenden bereikbaar is, voor het geval een auto te water raakt. Dat hamertje heb ik in mijn auto. Het ligt echter in het handschoenenkastje, omdat ik niet weet hoe en waar ik het moet bevestigen. Garages zouden dit proactief moeten oplossen. En dat geldt ook voor informatiebeveiliging. De uitvoering van het treffen van maatregelen moet ik ergens kunnen neerleggen. Aan mij als de verantwoordelijke de keuze om de maatregel wel of niet te treffen. Die keuze maak ik op basis van een risico-inschatting en niet omdat het zo hoort. Het is mijn verantwoordelijkheid om de afweging te maken tussen efficiency en veiligheid. Mijn keuze is mijn verantwoordelijkheid. (Zie ook ‘Mag een auditor nog wel normatief denken?’.) 

4. Balans tussen risico, beleid en veiligheid

Informatiebeveiliging anno nu is dan ook het zoeken van de balans tussen risico, beleid en veiligheid. Dit niet normatief, maar rationeel en proactief. Daarom is de normatieve ISO 27001-norm voor informatie beveiliging eigenlijk niet meer van deze tijd. ISO 27001 stelt een serie maatregelen verplicht, onafhankelijk van het feit of deze wel of niet zinvol zijn. Toepassing van deze norm leidt er dan ook al snel toe dat maatregelen niet worden geaccepteerd. Toepassing van deze norm leidt slechts tot ‘window-dressing’. De niet-normatieve ISO 27002-norm gaat er daarentegen vanuit dat er een afweging wordt gemaakt tussen risico’s, beleid en veiligheid. (Zie ‘ISO 27001 of ISO 27002 als norm voor uw informatiebeveiliging?’.) ISO 27002 gaat uit van doelstellingen en best practices (maatregelen) waarmee deze doelstellingen behaald kunnen worden. De keuze hoe de doelen te bereiken maken het management en de betrokkenen. Het is dan afhankelijk van het risicoprofiel van de organisatie of een risico afgedekt moet worden en zo ja hoe dit moet gebeuren. Doorgaans is een subset van de best practices voldoende voor het adequaat afdekken van risico’s. Men moet alleen nog de keuze maken welke best practices volstaan. Dit vergt vaak een andere attitude van ICT’ers en beveiligers. Zij stellen niet meer de norm voor informatiebeveiliging, maar zijn vanuit hun specialisme bezig met beslissingsvoorbereiding. Het management en de betrokken kunnen vervolgens een met al hun verantwoordelijkheden en eisen samenhangende afweging maken van het belang van veiligheid bij een bepaalde beslissing. (Zie ook ‘ISO 27002 ‘lean en mean’ implementeren als security management systeem’.) Het is evident dat awareness en acceptatie dan niet meer het probleem zullen zijn.
Voorwaarde is, dat de risico’s en het risicoprofiel op een heldere manier naar het management gecommuniceerd worden:

• niet via complexe, inhoudelijke rapportages, maar op basis van een beoordeling door een expert naar aanleiding van een risicoanalyse die het management kan begrijpen;
• niet via een set maatregelen die allemaal nu topprioriteit hebben, maar op basis van een systematische aanpak waarmee in de tijd de risico’s beheerst kunnen worden. (Zie ook ‘Managementrapportage risicoprofiel informatiebeveiliging ISO 27002’.)

Dan is informatiebeveiliging voor de organisatie een te managen onderwerp, waarbij afgewogen keuzes gemaakt kunnen worden, waarvoor ook draagvlak is. Een status is te managen, zonder dat men de inhoudelijke details kent. Een normatieve aanpak vanuit de ivoren toren van beveiligers en ICT’ers leidt sowieso tot een gevecht met het management, waarbij veiligheid het slachtoffer is, omdat de bedrijfsrisico’s niet goed gemanaged kunnen worden.

Herziene versie: 16 april 2010

Boeken in de categorie Informatiebeveiliging

• Internet Security
  Kees Hogewoning, Gerrit Th. Lith, Marco G. M. van der Kraan     

• ITIL Security Management [CD-ROM]  (Engels)
  Office of Government Commerce     

• Identity Theft Handbook  (Engels)
  Martin Biegelman     

• Managing the Human Factor in Information Security  (Engels)
  David Lacey     

• Information Security Management with ITIL V3  (Engels)
  Paul Overbeek, Louk Peters     

• Control and Security of E-Commerce  (Engels)
  Gordon Smith     

• Risicomanagement voor security- en facilitymanagers
  Cees Coumou     

• Information Security Management Advanced
  Ursula van den Eijk, John van Huijgenvoort, Peter Janssen     

• Network and Internet Security, Advanced – Compleet
  John van Huijgenvoort, Peter Janssen, Chris Kockelkoren, e.a.

Download:         

Gerelateerde artikelen:

1. Managementrapportage risicoprofiel informatiebeveiliging ISO 27002
2. ISO 27002, de Code voor Informatiebeveiliging nader toegelicht
3. Informatiebeveiligers verpesten iedere awareness

1. Compliant niet hetzelfde als veilig?
2. Security: specialisme of management?
3. Risico analyse is de basis 

1. Compliant niet hetzelfde als veilig?

De invoering en aanscherping van nieuwe wet- en regelgeving werd door veel IT security-specialisten als een steun in de rug ervaren. Budgetten voor IT security namen toe en voor het eerst in jaren stond IT security op de agenda van het topmanagement. Binnen een aantal organisaties werd het security-beleid onderdeel van de compliance strategy en soms werd zelfs de hele security organisatie omgedoopt of omgehangen richting een compliance afdeling of compliance officer.
Inmiddels beginnen security officers zich echter af te vragen of de beveiliging van bedrijfskritische informatie wel is verbeterd dankzij deze aandacht voor compliance: “We zijn dan wel compliant, maar zijn onze gegevens ook echt veilig?”(Zie ook ‘Beveiliging op z’n retour?‘.) Uit onderzoek blijkt dat veel security officers bang zijn dat de investeringen in het kader van ‘compliance’ maar beperkt bijdragen tot de verbetering van beveiliging. Zij vragen zich af of investeringen in security wel aan de juiste zaken worden uitgegeven. Het lijkt er bij veel bedrijven op dat investeringen in security voornamelijk worden gedreven door de noodzaak te (blijven) voldoen aan wet- en regelgeving. (Zie ook ‘Informatiebeveiliging: van onbewust risico lopen naar bewust risico nemen’.)
Is dit niet te gek voor woorden. Wet- en regelgeving worden geacht correct te zijn. Anders zouden er duizenden mensen achter de tralies zitten vanwege onrechtvaardige wetgeving. Anders zouden toezichthouders boetes uitdelen op gronden die foutief zijn. Is het feit dat wetgeving tekort schiet  een optie waar de gemiddelde manager rekening mee moet houden? Het is inderdaad een bekend gegeven, dat veel bedrijven aan beveiliging doen omdat het moet. Onderstaand zien we een overzicht van de top 3 van redenen om aan beveiliging te doen (blauw is Nederland en geel is wereldwijd). 

2. Security: specialisme of management?

Er lijkt zich een verschil af te tekenen tussen de beleving van security-specialisten en management van organisaties. Het management gaat er vanuit dat de significante investering nodig om te voldoen aan wet- en regelgeving voldoende is om risico’s in brede zin te beheersen. (Zie ook ‘Aanpak pragmatische invoering VIR‘.) Additionele investeringen voor specifieke beveiligingsrisico’s kunnen dan ook niet rekenen op veel begrip van het management. De security-professional weet echter uit de praktijk dat het voldoen aan wet- en regelgeving niet de volledige bandbreedte van de security-risico’s afdekt.
Hij kan dit echter niet verkopen aan het management; dan ben je als organisatie compliant, maar dan ben je nog steeds niet veilig. Een beetje manager trapt niet in zo’n open-eindeverhaal en besluit onmiddellijk om het risico dan maar te accepteren. (Zie ook ‘Informatiebeveiliging: geen verantwoordelijkheid maar aansprakelijkheid!’.)
Uit deze, voor veel organisaties herkenbare situatie blijkt, dat er niet veel veranderd is ten opzichte van de situatie van een aantal jaren geleden. Weliswaar is de aandacht voor beveiliging toegenomen. Beveiliging is echter niet te meten in absolute termen, maar heeft alles te maken met perceptie. En het onderbouwen van die perceptie dient te gebeuren door een risicoanalyse. Maar blijkbaar slaagt de gemiddelde security officer er nog steeds niet in het management daar voldoende van te overtuigen. 

3. Risico analyse is de basis

Daarmee zijn we dus terug bij één van de kernvragen die IT-beveiligers al sinds jaren bezig houdt: hoe ‘verkoop’ ik security binnen mijn organisatie. De toegenomen aandacht voor compliance kon wel eens een Pyrrusoverwinning blijken: het is vrijwel onmogelijk iets te ‘verkopen’ wat de beoogde koper al in huis denkt te hebben!
De oplossing van dit dilemma is gelegen in een goed onderbouwde risicoanalyse, gericht op business risico’s. De focus van veel wet- en regelgeving is vaak zodanig dat de scope beperkt is tot één bepaald risicogebied zoals financiële verantwoording, privacy, eerlijke concurrentie, etcetera. Dat betekent dat veel van de risico’s die de bredere bedrijfsvoering kunnen bedreigen buiten schot blijven of slechts beperkt aandacht krijgen. Een goed uitgevoerde risicoanalyse kan deze in kaart brengen.
Afhankelijk van de gekozen methode kunnen de risico’s ook gekwantificeerd en van een financiële component voorzien worden. Dan wordt het tevens mogelijk een gedegen afweging te maken hoe de beschikbare middelen optimaal geïnvesteerd kunnen worden. (Zie ook ‘Business continuïty steeds meer aandachtspunt voor controllers‘.)
Uiteraard kan een security officer binnen de meeste organisaties dit niet alleen. Hij heeft daarbij alle ondersteuning nodig die hij of zij kan krijgen. Er ligt hierbij een belangrijke rol voor auditors, zowel intern als extern. Als zij duidelijk maken wat de scope van compliance behelst, kunnen met name de interne auditors bijdragen aan een goede inschatting van de bredere risico’s. Ook de binnen veel organisaties in het leven geroepen risk management- of compliance-afdelingen kunnen hier een belangrijke bijdrage aan leveren. Liever dan alles onder de compliance-paraplu te vegen, zou het goed zijn de verschillende risicogebieden te onderkennen en de aandacht te geven die past bij het bedrijfsspecifieke risicoprofiel.
En de security officer? De meeste van hen geven er blijk van wel degelijk te weten wat nodig is. Laten ze vooral doorgaan met dat onder de aandacht te brengen in termen die relevant zijn voor het management, omdat het gaat over de bedrijfsvoering en niet slechts gebaseerd is op checklists of technisch jargon. (Zie ook ‘Informatiebeveiliging: geen verantwoordelijkheid maar aansprakelijkheid!’.) Dan kan een goede compliance-organisatie er wel degelijk toe bijdragen dat de veiligheid van bedrijfskritische informatie verbetert. Maar dat is geen automatisme, hoewel dat het wel zou moeten zijn.
Het management moet erop kunnen vertrouwen, dat als het ervoor zorgt dat de organisatie zich aan de regels houdt, de organisatie gevrijwaard wordt voor de risico’s waarvoor die regels zijn opgesteld. En als dan beveiligers gniffelend langs de zijlijn staan, dat dat domme management er nog steeds niets van begrijpt, dan hebben die beveiligers een probleem, of beter gezegd, dan leveren ze een wanprestatie. (Zie ook ‘Informatiebeveiligers verpesten iedere awareness’.)

Delen van dit artikel zijn overgenomen uit:
Floris van den Dool, ‘Management onderkent belang van security nog steeds niet’. In: Automatisering Gids. 23 maart 2007.

Download:         

Gerelateerde artikelen:

1. Preventie dataverlies (DLP) geeft een betere beveiliging
2. Informatiebeveiliging: geen verantwoordelijkheid maar aansprakelijkheid
3. Hoe groot moet je zijn voor Offshore ICT-outsourcing