8,4 / 10 201 beoordelingen op Springest
030-2308900 info@cibit.nl

Informatiebeveiliging uit een doosje?

Informatie-risicomanagement is een proces

Informatiebeveiliging, of liever nog Informatie-risicomanagement (IRM), is een proces, een kwaliteitsproces van waaruit maatregelen kunnen worden ingericht om de kwaliteit te kunnen borgen. Hiermee is al duidelijk dat het doosje (hoewel misschien wel nodig) zelf niet voldoende is. Deze (IT-)beveiligingsoplossingen zijn in zijn algemeenheid allemaal punt-oplossingen die voor een klein aantal mogelijke bedreigingen een oplossing bieden. Maar of die specifieke bedreigingen ook echt een negatieve weerslag hebben op de belangrijke bedrijfsprocessen, dat is een stuk minder duidelijk.
In de dagelijkse praktijk zien we hier de gevolgen van. Er zijn honderd en één technische maatregelen genomen om IT security goed in te regelen. Er is op hoofdlijnen het idee om te moeten/willen voldoen aan alle maatregelen uit een ISO27002, BIG, BIR, NEN7510, COBIT, en zo nog een aantal. Maar hoe, en waarom, tsja....

Vergelijkbaar met kwaliteitsprocessen

Een informatie-risicomanagementproces, waarmee de aansluiting gevonden wordt tussen bedrijfsdoelstellingen, kwaliteitseisen van processen, tot aan security maatregelen aan toe, is de echte sleutel tot een goede informatiebeveiliging. Dit proces, op hoofdlijnen vergelijkbaar met het kwaliteitsproces (PDCA, OODA, IMWR), begint met het uitvoeren van een goede analyse wat de gewenste kwaliteit eigenlijk is. Binnen het IRM-werkveld hebben we daarvoor een aantal vaste criteria opgesteld. Hiervan zijn de eerste drie het meest gangbaar: beschikbaarheid, integriteit en vertrouwelijkheid. Maar er wordt in het kader van aangescherpte compliancy ook steeds meer gerekend met toerekenbaarheid en controleerbaarheid.

Slimme keuzes maken

Met deze kwaliteitseisen in de hand kan worden bepaald wat de grootste bedreigingen zijn. Hiermee kan een goede selectie worden gemaakt van maatregelen. Maatregelen – preventief, defectief, correctief of repressief – die of de bedreiging wegnemen (kans) of de schade verkleinen (impact). Maar uiteindelijk kan er ook voor gekozen worden geen maatregelen te nemen. Als er slechts een kleine kans van optreden is, en de mogelijke gevolgschade ook nog eens klein is, waarom dan wel geld uitgeven aan maatregelen? Het kan dan een "normaal" bedrijfsrisico zijn.

Mooie, glimmende doosje mogelijk helemaal niet nuttig

Bottom line, het kan dus zijn dat dat mooie glimmende doosje helemaal niet nodig is, dat er door die mooie nieuwe "all-in security oplossing" geen aanvullende zekerheid kan worden gegeven over een juiste gegevensbehandeling.

De moraal van dit verhaal? Het is al best een oud spreekwoord, maar ook binnen informatie-risicomanagement is het nog steeds van toepassing: "Bezint er gij begint."


Jacques Eding is een door e wol geverfde informatie-risicomanager en architect. Hij heeft in de afgelopen 25 jaar in verschillende rollen diepgaande kennis opgebouwd van infrastructuren, beheerprocessen en informatiebeveiliging. Binnen het competentiegebied informatie-risicomanagement heeft Jacques meerdere rollen gehad op tactisch, strategisch en operationeel niveau. Hierdoor heeft Jacques op elk van deze lagen kennis opgebouwd, waardoor hij de unieke mogelijkheid heeft om als mediator tussen de verschillende lagen op te treden.

DEEL DIT ARTIKEL
VOLG ONZE BLOGS

Gerelateerde blog artikelen

  • Privacy: De AVG? Wij verzekeren ons wel

    De AVG? Wij verzekeren ons wel. Er gaan op verschillende plaatsen discussies rond met als strekking deze stelling. In deze blog een betoog waarom dit moreel (en juridisch) een verwerpelijk standpunt is.

    Lees verder
  • ​Privacy: Stand van zaken

    Tijdens deze blog gaat Jacques Eding het hebben over zijn bemerkingen rondom privacy nu we nog minder dan een jaar hebben voordat we aantoonbaar in control en compliant moeten zijn aan de Algemene Verordening Gegevensbescherming (AVG).


    Lees verder
  • Privacy: Bewaartermijnen uitgelegd

    In deze blog over privacy gaat Jacques Eding in op de verschillende onderdelen van een goed privacy management framework.

    Lees verder
  • Privacy: Wat is een Functionaris Gegevensbescherming?

    We zijn aangekomen bij deel zes van de blog serie. Zoals vorige week aangekondigd wordt deze blog weer iets praktischer van aard.

    Lees verder
  • ​Privacy: De wettelijke kaders voor de verwerking (vervolg)

    Dit is al weer het vijfde deel. We zijn gevorderd tot artikel 6 van de Algemene Verordening Gegevensbescherming (AVG), de rechtmatigheid van de verwerking. Wat er moet worden bepaald voor dat er sprake mag zijn van verzamelen en verwerken van persoonsgegevens.

    Lees verder
  • Privacy: wat is nu eigenlijk een persoonsgegeven?

    In deze blogreeks over privacy en privacymanagement gaat Jacques Eding in op de verschillende onderdelen van een goed privacymanagement framework.

    Lees verder
  • Privacy: Wat betekent “verwerken”?

    Jacques Eding blogt over privacy: Wanneer ben ik nu persoonsgegevens aan het verwerken en wanneer ook niet?

    Lees verder
  • Privacy: Wat mag er eigenlijk verwerkt worden?

    Jacques Eding blogt over privacy: Wanneer mogen persoonsgegevens nu eigenlijk verwerkt worden?

    Lees verder
  • ​Privacy: De wettelijke kaders voor de verwerking

    In dit vierde deel behandelt Jacques weer meer formele insteek, wat er moet worden bepaald voordat er sprake mag zijn van verzamelen en verwerken van persoonsgegevens. Hij gaat verder met doelbinding, grondslagen voor verwerking en de begrippen proportionaliteit en subsidiariteit.

    Lees verder

Cookies op de website van Cibit

Wij plaatsen functionele cookies, om deze website naar behoren te laten functioneren, analytische cookies
waarmee wij het gebruik van de website kunnen meten en cookies van derden voor het weergeven van emdeded
media (YouTube en GoogleMaps) Hieronder kan je aangeven welke andere soorten cookies je wilt accepteren:

Meer informatie