17 okt Het nut van de C en A bij informatiebeveiliging en privacy
De valkuil
Bij assessments zien we vaak dat de eerste aanzet rondom Informatiebeveiliging en Privacy (IB&P) projectmatig is aangevlogen. Het plan is gemaakt. Budget en resources zijn geclaimd en er worden (deel)producten opgeleverd die de organisatie moeten helpen de doelstellingen op het gebied van IB&P te realiseren.
Hoewel een projectmatige aanpak een prima start kan zijn voor de inrichting of verbetering van IB&P, zien we dat onze opdrachtgevers nog vaak in dezelfde valkuil terecht komen. Er is weliswaar een waardevolle set aan producten geleverd, maar ze wordt amper gebruikt. De basis is er dan wel, maar de werking van die producten is niet gegarandeerd. Het gevolg hiervan is dat de organisatie haar doelstellingen rondom IB&P alsnog niet zal halen.
Deze veel voorkomende valkuil geeft teleurstellingen in de organisatie:
- Beslissers denken de IB&P-uitdagingen “getackeld te hebben” door een project te laten uitvoeren, maar worden daarna geconfronteerd met een assessment of audit waaruit blijkt dat dit niet het geval is. Het is nog een graad erger als de organisatie, ondanks die producten, toch onveilig blijkt.
- Uitvoerders worden ongevraagd verplicht om richtlijnen en processtappen op te volgen, die ze niet zomaar in bestaande structuren kunnen inpassen.
- Klanten, leveranciers en werknemers krijgen te maken met extra werkzaamheden die tijd en/ of kennis vereisen, terwijl ze de achterliggende doelen en context niet meegekregen hebben.
De oorzaak
Naar onze mening ontstaat bovenstaande situatie, omdat de Check en de Act uit de PDCA-cyclus van Deming niet nadrukkelijk genoeg in de scope van het project meegenomen zijn. Die Check en Act focussen immers op het continue verbeteren van IB&P in de organisatie. Als b.v. blijkt dat een product uit het IB&P-project niet naar wens werkt, zal dit uit de in het project ingebouwde controles (Check) blijken en volgen er aanpassingen (Act) om deze situatie op te lossen.
Ons Advies
We adviseren daarom de volgende uitgangspunten:
1. Focus op controles en stuur hierop bij
Vooral als er externe kennis ingekocht moet worden, is het een logische gedachte om deze resources te gebruiken om zoveel mogelijk producten te laten leveren. Dat is onverstandig, omdat een set aan documenten en procedures niet alleen op de juiste manier in een organisatie dienen te landen, maar ook bijgehouden moeten worden. Wij zijn daarom voorstander van een bewust beperktere scope, waarin specifiek aandacht is voor de Controles (Check) door middel van rapportages en het inrichten van de governance rondom IB&P voor bijsturing (Act) op basis van die rapportages.
2. Neem alle IB&P factoren mee, die belangrijk voor de organisatie zijn
Informatiebeveiliging en Privacy in projecten omvatten regelmatig niet alle factoren die IB&P succesvol kunnen maken. Bij DiVetro zorgen we via onze STORM-denkwijze, dat we wel al deze factoren in een project weten in te brengen. STORM staat voor Strategie, Techniek, Organisatie, Risicomanagement en Mensen. Elke activiteit op het gebied van IB&P behoeft een analyse wat de gevolgen van deze activiteit zijn voor STORM. We zullen dit in toekomstige blogs uitgebreider toelichten.
3. Maak duidelijk waarom de organisatie IB&P op orde wil hebben
Compliance in de vorm van b.v. ISO27001 certificering moet nooit een doel op zichzelf zijn. Een organisatie streeft naar compliance met een bepaalde, meestal wettelijke of strategische, reden. Deze reden moet voor iedereen in de organisatie duidelijk zijn, zodat mensen het Waarom begrijpen in plaats van alleen met het Wat geconfronteerd worden. Een reden kan bijvoorbeeld zijn dat uit een Return-On-Security-Investments analyse is gebleken dat het investeren in Multi-Factor-Authenticatie de kans op grote financiële schade door een IB&P-incident, aanzienlijk kleiner maakt.
4. De medewerker is een belangrijke schakel
Kennis rondom IB&P is cruciaal om enerzijds te voorkomen dat er te rigide en misschien zelfs onjuiste producten opgeleverd worden, maar anderzijds ook om de Check en de Act zelf te kunnen uitvoeren als het project afgelopen is. Het opdoen van kennis bij medewerkers met voorlichting, training en workshops is daarom ook een belangrijk onderdeel van het project.
Conclusie
Wij zien in de praktijk dat met bovenstaande uitgangspunten ook de Check- en Act-aspecten van IB&P-maatregelen zijn geborgd. Zo ontstaat een veel betere kans op een succesvolle IB&P- implementatie in projectvorm. We helpen onze opdrachtgevers graag om hier vorm aan te geven.
Over de auteur
Carool Bijnen is security- en IT management consultant bij DiVetro. Hij ondersteunt bij alle aspecten van informatiebeveiliging vanaf het startpunt en het “waarom van informatiebeveiliging?”, via de “hoe van informatiebeveiliging?” tot en met de controle en verbetering van de “werking van informatiebeveiliging”. Hij kijkt daarbij niet alleen naar techniek, maar ook naar de strategie, organisatie, processen en medewerkers om een situatie te creëren, waarbij de risico’s een acceptabel niveau bereiken.