Informatie-risicomanagement is een proces
Informatiebeveiliging, of liever nog Informatie-risicomanagement (IRM), is een proces, een kwaliteitsproces van waaruit maatregelen kunnen worden ingericht om de kwaliteit te kunnen borgen. Hiermee is al duidelijk dat het doosje (hoewel misschien wel nodig) zelf niet voldoende is. Deze (IT-)beveiligingsoplossingen zijn in zijn algemeenheid allemaal punt-oplossingen die voor een klein aantal mogelijke bedreigingen een oplossing bieden. Maar of die specifieke bedreigingen ook echt een negatieve weerslag hebben op de belangrijke bedrijfsprocessen, dat is een stuk minder duidelijk.
In de dagelijkse praktijk zien we hier de gevolgen van. Er zijn honderd en één technische maatregelen genomen om IT security goed in te regelen. Er is op hoofdlijnen het idee om te moeten/willen voldoen aan alle maatregelen uit een ISO27002, BIG, BIR, NEN7510, COBIT, en zo nog een aantal. Maar hoe, en waarom, tsja....
Vergelijkbaar met kwaliteitsprocessen
Een informatie-risicomanagementproces, waarmee de aansluiting gevonden wordt tussen bedrijfsdoelstellingen, kwaliteitseisen van processen, tot aan security maatregelen aan toe, is de echte sleutel tot een goede informatiebeveiliging. Dit proces, op hoofdlijnen vergelijkbaar met het kwaliteitsproces (PDCA, OODA, IMWR), begint met het uitvoeren van een goede analyse wat de gewenste kwaliteit eigenlijk is. Binnen het IRM-werkveld hebben we daarvoor een aantal vaste criteria opgesteld. Hiervan zijn de eerste drie het meest gangbaar: beschikbaarheid, integriteit en vertrouwelijkheid. Maar er wordt in het kader van aangescherpte compliancy ook steeds meer gerekend met toerekenbaarheid en controleerbaarheid.
Slimme keuzes maken
Met deze kwaliteitseisen in de hand kan worden bepaald wat de grootste bedreigingen zijn. Hiermee kan een goede selectie worden gemaakt van maatregelen. Maatregelen – preventief, defectief, correctief of repressief – die of de bedreiging wegnemen (kans) of de schade verkleinen (impact). Maar uiteindelijk kan er ook voor gekozen worden geen maatregelen te nemen. Als er slechts een kleine kans van optreden is, en de mogelijke gevolgschade ook nog eens klein is, waarom dan wel geld uitgeven aan maatregelen? Het kan dan een "normaal" bedrijfsrisico zijn.
Mooie, glimmende doosje mogelijk helemaal niet nuttig
Bottom line, het kan dus zijn dat dat mooie glimmende doosje helemaal niet nodig is, dat er door die mooie nieuwe "all-in security oplossing" geen aanvullende zekerheid kan worden gegeven over een juiste gegevensbehandeling.
De moraal van dit verhaal? Het is al best een oud spreekwoord, maar ook binnen informatie-risicomanagement is het nog steeds van toepassing: "Bezint er gij begint."
Jacques Eding is een door e wol geverfde informatie-risicomanager en architect. Hij heeft in de afgelopen 25 jaar in verschillende rollen diepgaande kennis opgebouwd van infrastructuren, beheerprocessen en informatiebeveiliging. Binnen het competentiegebied informatie-risicomanagement heeft Jacques meerdere rollen gehad op tactisch, strategisch en operationeel niveau. Hierdoor heeft Jacques op elk van deze lagen kennis opgebouwd, waardoor hij de unieke mogelijkheid heeft om als mediator tussen de verschillende lagen op te treden.