ZBC Kennisbank

Managementrapportage risicoprofiel informatiebeveiliging ISO 27001 of 27002

verberg

Google zoekresultaat

Je komt hier omdat je zocht naar de volgende termen:

Klik op een term om naar de plek te springen waar deze het eerst voorkomt,
of ga terug naar de zoekresultaten

Inhoudsopgave

  1. Niet de informatiebeveiliging maar het management staat centraal
  2. Professionaliseren rapportage
  3. Het risicoprofiel als stoplichtmodel
  4. Onderliggende risico-inventarisatie
  5. Vertrouwen in de aanpak

1. Niet de informatiebeveiliging maar het management staat centraal

Dat informatiebeveiliging voor organisaties van cruciaal belang is, zal niemand ontkennen. Negeren van dit belang kan leiden tot ernstige reputatieschade. In feite is het met informatiebeveiliging net als met ICT. ICT was altijd en is ook nu nog een strategisch bedrijfsmiddel, maar bestuurders hebben zich nooit willen verdiepen in de technisch facetten van de ICT. Net zo willen bestuurders zich ook niet verdiepen in de finesses van informatiebeveiliging.
Vanuit het management gezien gaat het bij informatiebeveiliging maar om een drietal zaken:

  • Welke bedrijfsrisico’s lopen we?
  • Hoe groot is de kans dat we schade oplopen?
  • Wat moeten we nu besluiten om de risico’s te kunnen beheersen?

Er is geen manager in Nederland, die zich er niet van bewust is dat er risico’s bestaan. Dat er awareness gekweekt moet worden bij het management, is dus helemaal niet aan de orde. Maar vaak maken informatiebeveiligers niet op managementniveau inzichtelijk wat de risico’s zijn en wat er aan te doen valt. (Zie ook ‘Informatiebeveiligers verpesten iedere awareness’.) Informatiebeveiligingsplannen schitteren vaak door de tientallen of zelfs honderden maatregelen die erin genoemd worden. Iedere manager weet echter dat al die maatregelen onmogelijk allemaal werkend gemaakt kunnen worden en ook dat ze in ieder geval een aantal neveneffecten hebben:

  • De efficiency van de bedrijfsvoering wordt erdoor verminderd.
  • Ze leiden tot irritatie, vooral bij loyale medewerkers.
  • Echte veiligheid wordt met al die maatregelen niet bewerkstelligd.

Het is daarom geen wonder dat informatiebeveiliging niet de managementaandacht krijgt, die het verdient, ondanks het feit dat zowel managers als beveiligers dat wel graag willen. Kortom, er is gewoon sprake van een communicatiestoornis.

2. Professionaliseren rapportage

Wat eerder in de ICT gebeurde, gebeurt nu als het gaat om informatiebeveiliging: het management krijgt er de schuld van dat informatiebeveiliging niet voldoende aandacht krijgt. Het management zou zich niet willen verdiepen in dit strategische issue. Natuurlijk is dat onzin. Het management wil gewoon kunnen vertrouwen op zijn adviseurs. Maar het wil, en moet zelfs, wel zelf de verantwoordelijkheid nemen voor zijn beslissingen en uiteraard prioriteiten stellen. Het management bestuurt immers de organisatie. En dat gaat over meer dan alleen informatiebeveiliging. Daarom zal de rapportage aan het management moeten verbeteren en daaraan gekoppeld zullen er voorstellen moeten komen, die passen in het bedrijfsbeleid.
Allereerst zullen daarom vanuit het management de beleidsuitgangspunten vastgelegd moeten worden. (Zie ‘ISO 27001 of 27002 ‘lean en mean’ implementeren als security management systeem’.) Deze hebben niet alleen betrekking op wat er moet gebeuren, maar ook op wat er niet moet gebeuren en mogelijk op een prioriteitsstelling. De beleidsuitgangspunten vormen één van de drie pijlers onder het security management systeem.
De tweede pijler wordt uiteraard gevormd door het risicoprofiel van de organisatie en de derde bestaat uit de best practices die in ISO 27002 zijn beschreven.

iso27002_6

Op basis van deze drie pijlers wordt in overleg met het betrokken management het basisbeveiligingsniveau (BBN) gedefinieerd, zoals dit moet gelden voor de organisatie. Dit afgesproken beveiligingsniveau wordt aan de directie gerapporteerd, samen met de acties die nodig zijn om dit beveiligingsniveau te bereiken.  (Zie ook ‘Revisie ISO 27001 en ISO 27002’.)

3. Het risicoprofiel als stoplichtmodel

Het risicoprofiel wordt weergegeven op basis van twee variabelen. De eerste variabele is de noodzaak om de doelstelling te bereiken, zoals deze is ingeschat (zie ook ‘Voorbeeld vaststellen norm en basisbeveiligingsniveau op grond van ISO 27002 of 17799′) door het management en de materiedeskundigen van de organisatie (de afhankelijkheid). De tweede is de ernst (kwetsbaarheid), zoals deze in de huidige situatie is ingeschat door een interne of externe deskundige. Vaak hanteert men hiervoor een formule als kans op voorkomen maal schade. De basistabel ziet er dan als volgt uit:

rapportage_risicoprofiel2

Uiteraard zij er per gebied meerdere risico’s te onderkennen. In dit model is er voor gekozen per risicogebied de grootste dreiging weer te geven. In een bijlage wordt deze meer in detail uitgewerkt.
In onderstaand overzicht is een drietal meetpunten meegenomen:

  • de huidige situatie;
  • de verwachte situatie na de uitvoering van dit project in Q4 – 2008;
  • de verwachte situatie een jaar later in Q4 – 2009, vooral bereikt door de effecten op langere termijn van reeds nu getroffen maatregelen.

Deze prognoses worden opgesteld onder de aanname dat de voorgestelde maatregelen uit het actieplan inderdaad getroffen of gepland worden.

iso27002_3

Natuurlijk moet dit overzicht zodanig zijn, dat het management op grond daarvan beslissingen kan nemen en het verbeterproces in de tijd kan volgen.

Opmerkingen:
De risicogebieden zijn de risicogebieden die ISO 27002 ook onderkent.
Naleving kan pas later zichtbaar worden na inrichting van de interne controle en de daadwerkelijke controles.

4. Onderliggende risico-inventarisatie

Het item bedrijfscontinuïteitsbeheer kan op een onderliggend niveau als volgt zijn uitgewerkt:

iso27002_7

Dit is het niveau dat afgestemd is met de meer operationeel betrokkenen en waarvan de actielijst is afgeleid, waarvoor de budgetaanvraag gekoppeld aan de managementrapportage uit het vorige hoofdstuk is gedaan. Uiteraard krijgen de beslissers ook deze analyse opgestuurd, zodat ze eventueel de analyse achter de budgetaanvraag kunnen volgen. Meestal echter bekijken ze deze slechts met een korte blik. Voor het management is uiteraard alleen van belang te weten wat de kosten van de actie zijn. Zij kunnen deze dan vervolgens accorderen dan wel het risico accepteren. Voor wat betreft de certificering maakt dit praktisch gezien geen verschil. In control betekent immers, dat risico’s in kaart gebracht zijn en dat hierover adequate besluitvorming heeft plaatsgevonden. Bovendien kan deze rapportagevorm ook voor andere operational risks, zoals bijvoorbeeld ARBO en Milieu gebruikt worden, zodat het management bij al zijn beslissingen ook integraal de risico’s kan beoordelen. Op deze manier wordt voorkomen dat de besluitvorming alleen plaatsvindt op financiële gronden. (Zie ook ‘Afbakening van uw risk managementsysteem en de relatie met andere managementsystemen’.)

5. Vertrouwen in de aanpak

De voordelen van deze rapportagevorm zijn:

  • Het management krijgt een overzicht van de bedrijfsrisico’s gepresenteerd op 1 A4-tje, waarop het desgewenst verder kan inzoomen.
  • Het proces van informatiebeveiliging is te monitoren en dus bij te sturen in de tijd.
  • Verbeteracties zijn altijd gekoppeld aan onderkende bedrijfsrisico’s, waardoor overbodige maatregelen uitgesloten worden en het commitment voor de acties hoog is.

Door deze werkwijze te volgen, is het awareness probleem meestal geen issue meer. Juist de koppeling tussen acties en door de directie onderkende bedrijfsrisico’s zorgt voor vertrouwen. Alleen als een informatiebeveiliger verder wil gaan dan het afdekken van risico’s, dan zal hij het vertrouwen snel verspelen. Dat zal hij of zij vooral moeten (af)leren.

Oorspronkelijke versie: 4 juli 2008. Herziene versie 31 oktober 2011.
  • Download:

Auteur: Wiebe Zijlstra | 15 april 2012 | Copyright Wiebe Zijlstra

Be Sociable, Share!

Gerelateerde artikelen:

  1. ISO 27001 of ISO 27002 als norm voor uw informatiebeveiliging
  2. Cursus Informatiebeveiliging conform ISO 27001, 27002 of NEN 7510
  3. Lagere overheden kiezen steeds vaker voor ISO 27001 of 27002 als norm voor de informatiebeveiliging
  4. Cursus Informatiebeveiliging conform ISO 27002 of NEN 7510
  5. ISO 27001 of 27002 lean en mean implementeren als security management systeem
  6. Wanneer is informatiebeveiliging volgens NEN 7510 of ISO 27002 te certificeren
  7. ISO 27002, de Code voor Informatiebeveiliging nader toegelicht
  8. Revisie ISO 27001 en ISO 27002

Geef een reactie

Je moet inloggen om een reactie te kunnen plaatsen.