Fundamenteel proces binnen de Informatiebeveiliging
Informatiebeveiliging is een breed onderwerp. Om structuur aan te brengen is het fijn om te werken vanuit een raamwerk en passende architectuur. Hiertoe is vanuit Conscia het Conscia Cyber Security Framework (CCSF) opgesteld. Dit raamwerk bestaat uit meerdere niveaus en bijhorende ‘bouwblokken’. In een serie van meerdere blogs bespreek ik dit raamwerk, te beginnen met een fundamenteel onderwerp, namelijk Information Risk Management.
Onlangs ging bij een organisatie een security device kapot. Hierbij kwam een toch wel belangrijk bedrijfsproces tot stilstand. Gebruikers hadden geen inzage in toch wel belangrijke gegevens en konden hierdoor niet ‘sturen’. Van het moment van falen tot herstel duurde ruim zes uur. Ondanks de relatief korte outage-time was de schadepost aanzienlijk. De oorzaak was een defecte voeding in het enkelvoudig uitgevoerde device. Nu is de eerste vraag natuurlijk: “waarom zo’n belangrijk bedrijfsproces achter een enkelvoudig systeem?”. Het antwoord was dat ten tijde van het ontwerp en de implementatie dit zo historisch gegroeid is. Er is alleen vanuit de techniek gedacht en een faalscenario met bijhorend risicoprofiel is nooit besproken.
Het hier boven beschreven voorval is niet uniek. Bij de implementatie van een systeem of applicatie wordt er veel aandacht besteed aan de benodigde technische middelen en de aanschaf daarvan. Een risicobepaling, waarbij waarschijnlijkheid en consequentie besproken wordt, wordt vaak achterwegen gelaten. Het ontbreek de organisatie aan een risicomanagement proces. Laten we hier voor nu eens wat dieper op ingaan.
Informatie risico management. Een fundamenteel proces binnen de informatiebeveiligingsstrategie van een organisatie. Het is onderdeel van Information Security Governance, of te wel het besturen van de organisatie. Het definiëren van ‘governance’ is de allereerste stap binnen een informatiebeveiligingsstrategie. Ze is de verantwoordelijkheid van het management en heeft als doel om te zorgen voor:
- Strategische sturing en beslissingen;
- Het behalen van de opgestelde bedrijfsdoelstellingen;
- Het adresseren van risico’s en dat deze effectief gemanaged worden;
- Het optimaal inzetten van de resources binnen de organisatie.
Punt 3 beschrijft dus het risico management stuk. Elke organisatie heeft te maken met risico’s bij het uitvoeren van activiteiten bij het behalen van de bedrijfsdoelstelling. Die risico’s kunnen per organisatie weer anders zijn en van een ander niveau. Een organisatie moet dus goed nadenken over wat haar ‘Risk Appetite’ en ‘Risk Acceptance’ niveaus zijn. Dit is vaak lastig te kwalificeren en kan een reden zijn dat het risico management proces niet goed van de grond komt. Zoals gezegd is risico management een verantwoordelijkheid van het bestuur. Belangrijke stakeholders zijn hier de Security Officer (CISO), de Information Officer (CIO) en de business owners.
Maar laten we ons eerst de vraag stellen wat een risico is. Risico is de waarschijnlijkheid van een gebeurtenis en welke consequenties hieruit voort vloeien. Een andere traditionele definitie is dreiging x zwakheid x consequenties. Met andere woorden, wat is de uitkomst als een dreiging tegen een zwakheid zich openbaart. Kan een organisatie deze uitkomst absorberen? Heeft de organisatie hier een mening over? Persoonlijk denk ik dat iedere organisatie hier een mening over moet hebben en dat deze mening is vastgelegd binnen een Informatie risico management (IRM) beleid.
Informatie risico management gaat over beleid, procedures en de praktische uitvoering, waarbij risico’s in kaart gebracht worden, getoetst- en periodiek geëvalueerd worden. Termen zoals Risk Assessment, Business Impact Analyse (BIA) en Recovery Time Objective (RTO) komen standaard voor als we het over IRM hebben. Vanuit het Conscia Cyber Security Framework onderscheiden wij een vijftal stadiums horende bij een proces. Met IRM bevinden we ons in het ‘Identity’ en ‘Protect’ stadium.
Om van start te gaan met IRM is het van belang dat de organisatie bepaalt welk risiconiveau acceptabel is en met welke bandbreedte.
Hierna kan dan gestart worden met:
- De inventarisatie van je assets en toekennen van (bedrijfs)waarde;
- Het bepalen en opstellen van classificatieniveau ’s;
- Het uitvoeren van risico-, zwakheid- en dreigingsonderzoeken;
- Het bepalen welke maatregelen nodig zijn om risico’s terug te brengen naar een acceptabel niveau;
- Het uitvoeren van een GAP analyse;
- Het invoeren van benodigde maatregelen (controls);
- IRM proces bewaking.
Bovenstaande lijkt complex en kan veel tijd kosten. Een organisatie moet er ook klaar voor zijn en acteren op een bepaald volwassenheidsniveau. Toch zijn ook hier quick wins te behalen als er geen of beperkt IRM proces aanwezig is binnen uw organisatie. Het is een open deur, maar begin bijvoorbeeld met het in kaart brengen van de kritische IT systemen en wat het kan betekenen voor de informatievoorziening als een dergelijk onderdeel faalt. Wat is de kans? Welke maatregelen hebben we nu getroffen?
En mag ik als ‘take away’ meegeven om risicomanagement standaard mee te nemen bij de ontwikkeling van nieuwe systemen en zo geborgd is binnen het System Development LifeCycle (SDLC) proces. Door in een vroeg stadium na te denken over mogelijke risico’s ontstaan robuustere systemen en pakt het vaak ook voordeliger uit ten aanzien van het kostenplaatje. Tegelijkertijd werkt u aan een steeds volwassener wordende IRM proces. Een WIN-WIN dus.
Mag ik met u afspreken dat we in 2020 bij elke keuze voor een nieuwe IT oplossing het risico aspect meenemen? Om zo een weloverwogen keuze te maken voor een oplossing die bijdraagt in het behalen van uw bedrijfsdoelstellingen.
Een veilig en risico acceptabel nieuw jaar toegewenst!