Inhoudsopgave

1. Informatiebeveiliging ‘down to earth’
2. Omgaan met risico’s in plaats van bedreigingen
3. Proactief afdekken van risico’s
4. Balans tussen risico, beleid en veiligheid 

1. Informatiebeveiliging ‘down to earth’

Leest u ook geregeld artikelen in vakbladen, en dan met name in ICT-vakbladen, over de dreigingen waaraan u uw informatievoorziening blootstelt als u uw informatiebeveiliging niet serieus neemt? Consultants storten deze problematiek nu al jarenlang over ons uit. Vrijwel altijd gaat het over ongrijpbare incidenten, waarvan niemand precies weet hoe ze in elkaar steken en zeker niet wat er aan gedaan moet worden. (Zie ook ‘ICT-ers zo gek maken met beveiligingsissues, dat ze in de beveiligingsellende gaan geloven’.)
Waarschijnlijk haalt u geïrriteerd uw schouders op als beveiligers of ICT’ers u verwijten dat u informatiebeveiliging niet serieus neemt en dat het u ontbreekt aan awareness. Want u neemt informatiebeveiliging wel serieus. Maar net zoals u niet iedere dag stil staat bij alle enge ziektes die een mens kan krijgen, zo staat u ook niet iedere dag stil bij alle incidenten die zich op het gebied van informatiebeveiliging kunnen voordoen. En net zoals u ervan uitgaat dat u die enge ziektes niet zult krijgen, zo gaat u ervanuit dat u niet met die incidenten te maken krijgt. Wat die ziektes betreft, ook al staat u er niet voortdurend bij stil dat u ziek kunt worden, u neemt uw gezondheid natuurlijk wel serieus. U weegt risico’s af. Als het vriest trekt u een jas aan om te voorkomen dat u kou vat. Als u een verdieping naar beneden wilt, dan springt u niet, maar neemt u de trap om niet het risico te lopen, dat u een been breekt. Als u last heeft van hoge bloeddruk, dan slikt u een pilletje om een hartaanval te voorkomen. U eet gevarieerd en gezond om voldoende weerstand op te bouwen in uw lichaam. En als u toch ziek wordt, dan gaat u naar de dokter. In de meeste gevallen kan die u helpen weer beter te worden. Informatiebeveiligers echter eisen van u dat u alle enge ziektes op het gebied van informatiebeveiliging kent en dat u zich hier stuk voor stuk bij voorbaat tegen wapent. Maar dat is onzin, zoals u kunt lezen in het artikel ‘Informatiebeveiligers verpesten iedere awareness’. 

2. Omgaan met risico’s in plaats van bedreigingen

Net zoals u van allerlei ziektes niet weet wat ze nu precies inhouden en van uw auto niet weet, hoe u deze moet onderhouden, zo weet u ook niet van uw ICT-middelen hoe deze precies werken en wat er mogelijk mis mee kan gaan. En dat is prima, zolang u maar geen onverantwoorde risico’s neemt.
Als u in de auto stapt weet u heus wel wat wel en niet kan, ook al kent u niet alle verkeersregels. U weet globaal wat onverantwoorde risico’s zijn. U weet dus ook dat u:

• geen 120 km/u moet rijden in de bebouwde kom;
• niet tegen de stroom in moet rijden op de snelweg;
• niet met uw auto over fietspaden moet scheuren;
• niet zelf aan uw auto moet knutselen als u pech heeft, maar hiervoor de vakman moet bellen.

Voor ICT en informatiebeveiliging ligt dit niet anders. Als u uw ICT-middelen gebruikt zoals ze bedoeld zijn en u zich aan de regels houdt, dan zijn de risico’s klein en dus acceptabel. Zoals u ook een acceptabel risico loopt als u in de auto stapt of als u gaat vliegen.
De ideale situatie is, dat u werkt op een standaardwerkplek in het gebouw van uw organisatie. Zo’n situatie is standaard voor uw ICT-afdeling en de informatiebeveiliging. U mag er vanuit gaan, dat uw ICT-afdeling deze situatie ‘in control’ heeft. En als dit niet het geval is, dan mag u er vanuit gaan dat uw ICT-afdeling de oplossing heeft om met een minimum aan schade incidenten en calamiteiten te managen. Zo werkt dat ook bij een dreigende griepepidemie. Dat mensen ziek worden, wordt deels voorkomen door het geven van een griepprik aan risicogroepen en voor de rest is er een oplossing voor het geval mensen wel geïnfecteerd raken.
In de standaardsituatie loopt u dus geen risico, tenzij u vanaf uw werkplek risico’s neemt zoals:

• gevoelige informatie weggeven via internet door het actief invullen van formulieren (bedrijfsinformatie of creditcard gegevens);
• een virus of spyware binnenhalen door onzorgvuldige mailafhandeling of downloadgedrag via een onbeveiligde computer;
• data overbrengen op een ander opslagmedium (papier, USB-sticks, laptop, mobiele werkplek, thuiswerkplek enzovoort); in dat geval wordt u geacht u er bewust van te zijn, dat u hiermee een risico loopt, dat uzelf moet afdekken.

Genoemde risico’s neemt u meestal uit efficiency overwegingen. Daar is niets op tegen, mits u zich ervan bewust bent dat u deze risico’s loopt en er ook naar handelt. (Zie ook ‘Informatiebeveiliging: van onbewust risico lopen naar bewust risico nemen’.) Als ICT’ers en informatiebeveiligers het een probleem vinden, dat u deze risico’s neemt, dan zullen zij daar proactief op moeten inspelen. 

3. Proactief afdekken van risico’s

Als een bedrijf uit efficiency overwegingen vindt, dat managers en medewerkers deze risico’s moeten nemen, dan moet het dit proactief faciliteren. Niet alleen door het opstellen van een gedragscode voor alle interne en externe medewerkers, maar ook door het treffen van maatregelen voor gebruik van data buiten de standaardwerkplek. Hiervoor zijn tal van mogelijkheden zoals:

• een VPN voor het werken op afstand;
• serverbased computing voor het werken op afstand;
• uitgifte van beveiligde media zoals laptops voor het werken op afstand inclusief virus- en malware protectie;
• encryptie op laptops en USB-sticks om data op externe media te beschermen.

ICT-middelen op afstand worden van oudsher vaak beschouwd als privébezit van medewerkers en managers. Vaak was dit ook het geval. Dat betekent echter niet dat de medewerkers en managers het onderhoud en het beheer van deze middelen zelf moeten doen. Als het om de auto gaat, gaan we ervan uit dat de overheid met adequate regelgeving komt en deze ook bewaakt en dat we het onderhoud kunnen uitbesteden aan de garage, die bij een beurt wel meldt welk additioneel onderhoud noodzakelijk is. Met informatiebeveiliging is dit niet anders. Natuurlijk zijn medewerkers en managers zelf verantwoordelijk, maar daarbij moeten ze wel adequaat worden ondersteund door specialisten, die up-to-date risico’s voor hen afdekken.
Een voorbeeld van hoe het niet moet gaf minister Eurlings met het hamertje dat in een auto aanwezig en voor alle inzittenden bereikbaar moet zijn, voor het geval een auto te water raakt. Dat hamertje heb ik in mijn auto. Het ligt echter in het handschoenenkastje, omdat ik niet weet hoe en waar ik het moet bevestigen. Garages zouden dit proactief moeten oplossen. En dat geldt ook voor informatiebeveiliging. De uitvoering van het treffen van maatregelen moet ik ergens kunnen neerleggen. Aan mij als de verantwoordelijke de keuze om de maatregel wel of niet te treffen. Die keuze maak ik op basis van een risico-inschatting en niet omdat het zo hoort. Het is mijn verantwoordelijkheid om de afweging te maken tussen efficiency en veiligheid. Mijn keuze is mijn verantwoordelijkheid. (Zie ook ‘Mag een auditor nog wel normatief denken?’.) 

4. Balans tussen risico, beleid en veiligheid

Informatiebeveiliging anno nu is dan ook het zoeken van de balans tussen risico, beleid en veiligheid. Dit niet normatief, maar rationeel en proactief. Een normatieve benadering voor informatiebeveiliging is eigenlijk niet meer van deze tijd. Die leidt tot ‘window-dressing en dat maatregelen niet worden geaccepteerd. Er moet daarentegen een afweging worden gemaakt tussen risico’s, beleid en veiligheid. (Zie ‘ISO 27001 of ISO 27002 als norm voor uw informatiebeveiliging?’.) Het gaat om doelstellingen die  behaald kunnen worden. ISO 27002 geeft daarvoor best practices. De keuze hoe de doelen te bereiken maken het management en de betrokkenen. Het is dan afhankelijk van het risicoprofiel van de organisatie of een risico afgedekt moet worden en zo ja hoe dit moet gebeuren. Doorgaans is een subset van de best practices voldoende voor het adequaat afdekken van risico’s. Men moet alleen nog de keuze maken welke best practices volstaan. deze benadering vergt vaak een andere attitude van ICT’ers en beveiligers. Zij stellen niet meer de norm voor informatiebeveiliging, maar zijn vanuit hun specialisme bezig met beslissingsvoorbereiding. Het management en de betrokken kunnen vervolgens een met al hun verantwoordelijkheden en eisen samenhangende afweging maken van het belang van veiligheid bij een bepaalde beslissing. (Zie ook ‘ISO 27001 of 27002 ‘lean en mean’ implementeren als security management systeem’.) Het is evident dat awareness en acceptatie dan niet meer het probleem zullen zijn.
Voorwaarde is, dat de risico’s en het risicoprofiel op een heldere manier naar het management gecommuniceerd worden:

• niet via complexe, inhoudelijke rapportages, maar op basis van een beoordeling door een expert naar aanleiding van een risicoanalyse die het management kan begrijpen;
• niet via een set maatregelen die allemaal nu topprioriteit hebben, maar op basis van een systematische aanpak waarmee in de tijd de risico’s beheerst kunnen worden. (Zie ook ‘Managementrapportage risicoprofiel informatiebeveiliging ISO 27001 of 27002’.)

Dan is informatiebeveiliging voor de organisatie een te managen onderwerp, waarbij afgewogen keuzes gemaakt kunnen worden, waarvoor ook draagvlak is. Een status is te managen, zonder dat men de inhoudelijke details kent. Een normatieve aanpak vanuit de ivoren toren van beveiligers en ICT’ers leidt sowieso tot een gevecht met het management, waarbij veiligheid het slachtoffer is, omdat de bedrijfsrisico’s niet goed gemanaged kunnen worden.

Oorspronkelijke versie: 5 oktober 2008, herziene versie: 16 april 2010

Download: