In het vorige artikel schreef ik over het beeld van informatiebeveiliging als het opvangen van water met emmertjes onder een lekkend dak, En dan vaak nog zonder het dak te repareren of de noodzaak voor onderhoud te zien aankomen. Een herkenbare situatie voor velen in het vak.

Maar wat als we die emmertjes kunnen opbergen en het dak structureel kunnen onderhouden? Wat als informatiebeveiliging niet langer een noodmaatregel is, maar een geïntegreerd onderdeel van je organisatie?

In dit artikel laat ik zien hoe je dat doet: door security by design met daarbij aandacht voor een onderhoudsplan.

Stap 1: Begin met een Business impact-analyse (BIA)

Elke significante wijziging in een organisatie heeft impact. De vraag is: waarop en hoeveel? Een BIA zal, mits goed uitgevoerd, antwoord geven op de impact op de organisatie op het gebied van beschikbaarheid, integriteit en vertrouwelijkheid en het belang om deze te kunnen waarborgen.

Een goede BIA kan alleen met de juiste kennis, kunde en verantwoordelijkheden aan tafel:

• De eigenaar van de dienst of applicatie;
• Iemand met inzicht in de technische architectuur;
• Een specialist informatiebeveiliging en privacy;
• Een medewerker die de impact op bedrijfsprocessen kent;
• Een facilitator die het proces begeleidt, dit is vaak de specialist informatiebeveiliging en privacy.

De kennis en informatie die je opbouwt in de BIA, is het fundament van security by design. Op dit fundament kunnen dan de informatiebeveiligingsmaatregelen genomen worden om de beschikbaarheid, vertrouwelijkheid en integriteit op de juiste manier in te richten.

Door een BIA weet de organisatie wat er in welke mate en hoe in samenhang beschermd moet worden. De BIA geeft ook richting aan een vervolg. Als het belang voor een organisatie groot is en er is een hoge impact door falen op beschikbaarheid, vertrouwelijkheid en integriteit, dan kan je aanvullende acties uitvoeren zoals een risicoanalyse of een DPIA.

Als je een nieuw dak op je huis wilt, bepaal je vooraf de eisen: veiligheid, materiaal, garantie, doorlooptijd en onderhoud. Zo werkt het ook met een BIA. Als bijvoorbeeld uit de BIA blijkt dat een nieuwe applicatie maximaal vier uur niet beschikbaar mag zijn, dan ga je met de leverende partij daar op sturen.

Heb je weinig ervaring met BIA’s? De Rijksoverheid gebruikt de BIO Quick-scan als laagdrempelige start.

Stap 2: Houd grip van ontwerp tot oplevering

Onze ervaring is dat er in de fase van ontwerp naar oplevering nog veel veranderd. Er worden tijdens de bouwfase vaak concessies gedaan door tijd- of budgetdruk. Dat is niet erg, zolang je elke wijziging opnieuw beoordeelt op de gevolgen voor beveiliging.

De mensen in het wijzigingsproces of in de projectstuurgroep moeten zich realiseren dat informatiebeveiliging onderdeel is van het geheel. Dat zorgt ervoor dat hetgeen uiteindelijk opgeleverd wordt, voldoet aan de vooraf gestelde eisen voor informatiebeveiliging.

Stap 3: Maak een onderhoudsplan

Een goed onderhouden huis begint met regelmatige inspecties. Je wacht niet tot het dak lekt, maar controleert en repareert preventief. In informatiebeveiliging is het niet anders.  Je controleert de werking van de beveiligingsmaatregelen en bent alert op dreigingen:

• Test je beveiligingsmaatregelen regelmatig.
• Voer periodieke risicoanalyses uit.
• Pas maatregelen aan als risico’s veranderen.

Belangrijk is dat er bij oplevering ook een onderhoudsplan is: wie controleert wat, wanneer en hoe? Welke onderdelen van het digitale huis zijn kwetsbaar? En hoe zorgen we dat iedereen weet wat zijn of haar rol is?

Dit “onderhouden van je huis” doe je op basis van het belang dat een onderdeel voor je organisatie heeft.  Een webshop zal veel meer controles uitvoeren op de werking van het e-commerce deel van haar website, dan een traditionele autodealer die zijn auto’s alleen offline verkoopt.

Van start tot onderhoud

Door op deze manier security by design gericht te implementeren: via BIA tot gecontroleerde oplevering met een onderhoudsplan, weet je precies wat, in welke mate en hoe in samenhang je moet beschermen. Zo blijft je digitale dak waterdicht, met een kleinere kans dat je ooit nog emmers nodig hebt. 

Onze specialisten informatiebeveiliging bij DiVetro gaan graag met je in gesprek over de manier waarop je informatiebeveiliging voor jouw organisatie kunt inrichten of verbeteren.