Risicomanagement definieert beveiliging
Als beveiligingsmaatregelen niet zijn ontworpen en geïmplementeerd met het oog op risicomanagement, dan krijg je een onwerkbare situatie.
U kunt bijvoorbeeld te veel of dubbele controles krijgen, wat erg duur is. Ook wil je niet alle controls rapporteren aan het management, maar focussen op de effecten van de controls, de daadwerkelijke resultaten. In deze blog willen we de lezer een aantal tips meegeven die helpen bij het organiseren van de risicomanagementcyclus, de implementatie van controles en het meten van de effectiviteit ervan.
Het ‘Cyber Security Assessment Nederland 2020’ (CSBN 2020) bevat de volgende visie: “De voortschrijdende digitalisering zal zowel de dreiging als de weerbaarheid beïnvloeden en het belang van digitale veiligheid vergroten. De verdere transitie naar een datagedreven economie, met extra zorgen over privacy en digitale veiligheid, zal het belang van digitale veiligheid vergroten.”
Veel organisaties pakken informatiebeveiliging structureel aan. Een hoeksteen in de aanpak is vaak de beslissing om een ’security framework’ te implementeren, zoals de ISO 27001-norm. Een goede aanpak om het veiligheidsniveau beheersbaar te maken. Maar dat gezegd hebbende, er zijn uitdagingen. Want wat houdt het implementeren van een beveiligingsraamwerk precies in?
Het implementeren van een beveiligingsraamwerk raakt de hele organisatie. De invoering van ISO 27001 vraagt om een andere manier van werken, waarbij beveiliging is geïntegreerd in de inrichting van de werkprocessen. Hierdoor zullen deze veranderingen ook gevolgen hebben voor de taken en verantwoordelijkheden van medewerkers. Een van de belangrijkste aspecten die wordt getoetst voor ISO 27001-certificering van een organisatie, is de mate waarin medewerkers worden geïnformeerd, getraind en in staat gesteld om hun beveiligingstaken uit te voeren.
Het is duidelijk dat organisatieontwikkeling op het gebied van beveiliging continue aandacht van het management vraagt en begeleiding wordt genoemd. De ontwerpers van de ISO 27000-normenreeks waren zich terdege bewust van de cruciale rol van het topmanagement. Artikel 5 in deze ISO-normen gaat over Leiderschap en schrijft voor welke activiteiten het topmanagement moet verrichten.
Het topmanagement is doorgaans bereid deze werkzaamheden uit te voeren, indien het zakelijk belang daarvan voortdurend wordt aangetoond. Dit kwaliteitsaspect van rapportage blijft vaak onderbelicht en de aandacht van het topmanagement dwaalt af. Wat zijn de gevolgen van een gebrek aan leiderschap van het topmanagement? Wat zijn de signalen van onvoldoende managementbetrokkenheid en wat kunt u eraan doen?
Om met de laatste vraag te beginnen: de signalen dat informatiebeveiliging geen prioriteit is voor het topmanagement zijn:
- Aanwezigheid bij periodieke informatiebeveiligingsbijeenkomsten neemt af
- Communicatie over het belang van informatiebeveiliging neemt af
- Er worden te weinig of oppervlakkige vragen gesteld over de effectiviteitsrapporten
- Passief reageren op het ontbreken van evaluaties van bijvoorbeeld risicomanagement
Wat zijn de gevolgen van een gebrek aan leiderschap van het topmanagement?
Door het gebrek aan sturing door het management worden risicocriteria niet strikt nageleefd, wat direct leidt tot een ‘overshoot’ van controles. Medewerkers zijn zelden in de positie om een risico-inschatting te maken die gelijk is aan het topmanagement. Om begrijpelijke redenen zullen ze risico’s willen vermijden en daarom kiezen voor meer beveiligingsmaatregelen. Door deze overshoot wordt risicomanagement bureaucratischer en worden rapportages minder relevant. Het is dus een zichzelf versterkend effect in de risicomanagementcyclus.
Wat kunt u doen om de aandacht van het management vast te houden? Hieronder 5 tips:
Tip 1: Relevante beveiligingsrapporten
Allereerst heeft het management recht op relevante rapportages. Dat is iets anders dan een verslag van de verrichte werkzaamheden. De rapportages moeten dus gaan over de meest relevante veiligheidsrisico’s. Dus als u zich bezighoudt met informatiebeveiliging, zorg er dan voor dat uw rapporten gericht zijn. Werk zoveel mogelijk met afbeeldingen en grafieken, zodat een grote hoeveelheid informatie eenvoudig kan worden samengevat en de drie belangrijkste elementen kunnen worden uitgelicht.
Tip 2: Definieer doelen en verwachtingen
Ten tweede moet het management ook aangeven wat het van informatiebeveiliging verwacht. In de norm wordt dit de ‘informatiebehoefte’ van de stakeholders genoemd. Als vervolgens wordt aangegeven op welk niveau aan het management is voldaan en wanneer niet, is een basis gecreëerd voor het definiëren van een metric. Het ontwikkelen van maatregelen vergroot de effectiviteit van security en compliance en de efficiëntie van rapportage over de status.
Tip 3: Rapporteren over de effectiviteit van het ISMS
Het implementeren en onderhouden van een Information Security Management System (ISMS) brengt aanzienlijke kosten met zich mee. Met dit systeem worden bedrijfsdoelen nagestreefd, zoals een lagere kans en/of impact van een datalek, een lagere kans op een beveiligingslek, etc. De kosten die hierdoor vermeden worden kunnen gezien worden als de rendementskant van de ISMS. Dit is de taal die het topmanagement herkent en waardeert.
Tip 4: Effectiviteit van beveiligingsbeleid
Ten vierde, zorg voor actieve betrokkenheid van het management bij informatiebeveiliging. Met name een rapportage over de doelmatigheid van beleid biedt veel mogelijkheden om het management te informeren over de effecten van het beleid op de werkvloer. Waar zorgt het beleid voor teveel bureaucratie en waar schiet het beleid tekort? Deze aspecten van beleid zijn vrij eenvoudig te vertalen naar consequenties voor de business.
Tip 5: Maak de integratie van beveiliging en organisatie zichtbaar
De integratie van informatiebeveiliging kan zichtbaar worden gemaakt door te rapporteren over een aspect van informatiebeveiliging. De eenvoudigste versie hiervan is de mate waarin eigendommen van bijvoorbeeld activa zijn belegd en autorisaties zijn verleend. Over risico- en probleemeigenaren kan een soortgelijke rapportage worden opgesteld. Het risico op een datalek is aanzienlijk groter bij datasets die niet worden beheerd. De zakelijke gevolgen hiervan zijn in financiële termen uit te drukken.
Het implementeren van een “security framework” gebaseerd op de ISO 27001 norm is een zeer effectief middel om een organisatie verder te ontwikkelen op het gebied van security. Ook hier is het beveiligingsniveau zo sterk als de zwakste schakel. Dit betekent dat medewerkers moeten begrijpen wat er van hen wordt verwacht. Vooral eigenaren van datasets of applicaties, bedrijfseigenaren en IT-leads zijn belangrijke rollen om het beveiligingsdoel te bereiken. Zij zullen in ieder geval geschoold moeten zijn in ISO 27001.