Toen ik nog studeerde werd de term ‘soggen’ regelmatig gebruikt, waarbij ‘sog’ een acroniem is voor StudieOntwijkend Gedrag. In het professionele leven kom ik regelmatig organisaties tegen die ‘SecurityOntwijkend Gedrag’ vertonen. Security wordt gezien als iets belangrijks, maar toch wordt het net zo lang uitgesteld tot het echt niet anders kan (of nog wat langer). Security wordt dan vaak gezien als een ongrijpbaar, technisch, complex en groots onderwerp. ‘Om dat écht goed te kunnen doen, kunnen we het maar beter morgen oppakken, of over een week (of volgend jaar, of …)’, is de gedachte. Met als gevolg dat security eindeloos wordt uitgesteld, en dat er vandaag onvoldoende grip is op de bescherming van de kroonjuwelen van uw organisatie.
Primaire doel van informatiebeveiliging
En dat is zonde. Informatiebeveiliging is namelijk geen ‘rocket science’. Daarnaast is het ook geen doel op zich. Informatiebeveiliging is in de eerste plaats een middel om ervoor te zorgen dat u uw werk kunt blijven doen, of om het wat chiquer te verwoorden: om de continuïteit van uw bedrijfsvoering te waarborgen. De bedrijfsvoering is immers in grote mate afhankelijk van informatie en informatieverwerkende systemen. Het primaire doel van informatiebeveiliging is ervoor zorgen dat vandaag en morgen uw informatie bereikbaar is voor degenen die de informatie nodig hebben, dat de informatie actueel en juist is, en dat de informatie afgeschermd is voor pottenkijkers.
Vanuit dat perspectief heeft u waarschijnlijk al méér aan informatiebeveiliging gedaan, dan u op het eerste gezicht zou denken. Kantoorruimtes worden afgesloten, personeelsdossiers zitten achter slot en grendel, er zijn back-ups die kunnen worden teruggezet bij storingen en er is wellicht een stapeltje reservelaptops aanwezig voor het geval er een stukgaat of gestolen wordt. Sommige van deze maatregelen zijn misschien wel onbewust genomen, of waren van oudsher al aanwezig. Andere maatregelen zijn wellicht zo voor de hand liggend of ‘standaard’ dat u amper hoefde na te denken voordat de maatregel werd ingesteld.
Waar te beginnen met security?
Mogelijk heeft u echter weinig zicht op welke maatregelen er níét zijn genomen binnen uw organisatie. Immers: wat er niet is, zie je niet. Dit is het punt waarop veel organisaties en bestuurders besluiten om security nog maar even vooruit te schuiven. Want waar moet je beginnen om inzichtelijk te maken welke maatregelen er allemaal niet zijn genomen, om uiteindelijk tot een werkbare lijst te komen met maatregelen die je wilt instellen?
Wij raden aan om te beginnen met het beantwoorden van de vraag wat écht belangrijk is voor uw organisatie. Waar staan jullie voor, wat is jullie bestaansrecht en welke kernwaarden hanteer je daarbij? Deze vragen klinken groter en zwaarder dan ze in werkelijkheid zijn. Als er geen specifieke missie en kernwaarden zijn geformuleerd, maken zij impliciet onderdeel uit van de cultuur en werkwijze binnen de organisatie. In dat geval is het goed om ze expliciet te benoemen. Zij vormen namelijk de kapstok waaraan beslissingen betreffende beveiliging kunnen worden opgehangen.
Vervolgens kan de vraag worden gesteld wat uw organisatie precies doet, welke informatie en systemen daarbij worden gebruikt, en hoe kritisch die informatie en systemen zijn voor uw bedrijfsvoering. Sommige zaken kunnen prima een weekje blijven liggen als een systeem zou uitvallen. Maar voor sommige organisaties zijn bepaalde systemen dusdanig belangrijk dat het voortbestaan van de organisatie in gevaar komt wanneer het systeem een paar uur niet doet wat het hoort te doen.
Maak de risico’s inzichtelijk
Vervolgens is het zaak om in kaart te brengen wat er precies fout kan gaan voor de kritische systemen en waar de zwakke plekken zitten. Als de risico’s inzichtelijk zijn gemaakt, kan worden geanalyseerd welke risico’s het meest waarschijnlijk zijn en wat de impact daarvan zou zijn. Dankzij deze analyse kun je weloverwogen bepalen welke risico’s je als eerst wil aanpakken, en welke risico’s nog wel even kunnen wachten.
Nu helder is waar je grootste risico’s zitten, kun je maatregelen selecteren die deze risico’s tot een acceptabel niveau beperken. Omdat je een integraal overzicht van je risico’s hebt, kun je de maatregelen op een slimme wijze selecteren: sommige maatregelen dekken immers meerdere risico’s af.
Na het implementeren van de maatregelen is het belangrijk om te evalueren of de maatregelen correct zijn uitgevoerd, maar ook of zij het effect sorteren dat beoogd was. Op dat moment kan worden bijgestuurd. En na het bijsturen kan weer opnieuw worden begonnen met het valideren van de eerder geïdentificeerde risico’s en de daarop ingestelde maatregelen. Hiermee richt je een cyclisch proces in waarmee je informatiebeveiliging continu verbetert.
