5 attentiepunten bij het behandelen van informatiebeveiliging risico's

Er komt nogal wat kijken bij het opzetten en implementeren van een informatiebeveiliging managementsysteem. Zo moet u bijvoorbeeld het informatielandschap met zijn kroonjuwelen in kaart brengen en de risicoanalyse uitvoeren. Nadat u dit in kaart heeft gebracht is het zaak om de risico’s te behandelen om de kans dat ze voorkomen en/of de impact te verkleinen. Er zijn veel zaken om rekening mee te houden, in dit blog geven we 5 belangrijke attentiepunten.

1) Hoe om te gaan met risico's

Voor alle risico’s geldt dat er verschillende manieren zijn om met deze risico’s om te gaan. Grofweg zijn er op hoofdlijnen 3 manieren aan te duiden. Deze werken we verder uit op basis van het voorbeeld van inbraak in een fysieke locatie (bijvoorbeeld een bedrijfspand).

  1. Preventie: Het woord zegt het al, u probeert te voorkomen dat een risico bewaarheid wordt. Dit kunt u doen door sloten op deuren aan te brengen en ervoor te zorgen dat u de deuren afsluit
  2. Detectie: Deze manier staat eigenlijk één stap achter Preventie, doordat u het risico niet voorkomt, maar wel nadat het zich heeft voorgedaan snel opmerkt. Daardoor kunt u snel verdere maatregelen nemen. In ons voorbeeld is het de inbreker gelukt om binnen te komen, maar wordt dit meteen opgemerkt. Bijvoorbeeld door bewegingsmelders, die een alarm laten afgaan en/of automatisch een melding doen bij een beveiligingsdienst.
  3. Repressie: Bij repressie richten uw inspanningen zich niet zozeer op het voorkomen van schade, maar zorgt u ervoor dat de consequenties zo laag mogelijk zijn. In het geval van inbraak bijvoorbeeld zou dat kunnen zijn dat de inbreker wel binnenkomt, maar in een ruimte waar niks staat of dat de inbreker meteen in de kraag gegrepen wordt. 

Deze 3 manieren voor het omgaan met risico’s kunt u ook uitstekend toepassen op risico’s met betrekking tot informatiebeveiliging.

2) Wat is de baseline?

Een baseline is een set aan maatregelen die een bepaald niveau van beveiliging dienen te realiseren. In veel gevallen zal de baseline zorgen voor een basis (minimaal aanvaardbaar) risiconiveau. Maar u wilt wellicht meer. Uw ambitie is bijvoorbeeld om uw informatiebeveiliging van een 2,5 (baseline) naar een 4 (op een schaal van 0 tot 5) te tillen. Daarvoor moet u vaststellen wat het volwassenheidsniveau is. Hiervoor kunt u bijvoorbeeld het Capability Maturity Model gebruiken, dat 5 niveau’s van volwassenheid onderscheid:

  1. Initial: Dit niveau kan iedere organisatie aan, en kenmerkt zich door chaotisch en ad hoc handelen. Problemen worden pas opgelost als ze zich voordoen.
  2. Repeatable: Hierbij maakt u gebruik van kennis die u (of uw collega’s) eerder over het proces heeft opgedaan en gedocumenteerd, zodat u dit kunt herhalen.
  3. Defined: Op dit niveau heeft u de belangrijkste processen gedefinieerd als standaardproces.
  4. Managed: Het managed volwassenheidsniveau kenmerkt zich door het meten van de kwaliteit van het procesen op basis van die resultaten verbeteringen door te voeren.
  5. Optimized: is het niveau waarop het standaardproces loopt als een geoliede machine en u alleen nog verfijning hoeft door te voeren. Oftewel: u zet de puntjes op de i.

3) De lat heel hoog of beginnen met quick wins?

Het ene risico vergt meer tijd en moeite om de juiste maatregelen tegen te nemen dan het andere. Begint u met een quick win (om snel een resultaat te boeken) voor een wellicht wat kleiner risico, of is het verstandig om met het grote project te starten waarin u maatregelen gaat nemen tegen grote risico’s?

De waarheid zal in veel gevallen ergens in het midden liggen, dus een combinatie van beiden. Zo maakt u voortgang in het grote project, en kunt u tevens een resultaat presenteren bij het inrichten van een quick win. De beste verbeteringen zijn daarbij vaak aanpassingen van maatregelen die toch al in één of andere vorm aanwezig waren in uw organisatie.

4) Houd rekening met mens, organisatie en techniek

Succesvolle informatiebeveiligings-beheersmaatregelen zijn altijd een combinatie van de factoren mens, organisatie en techniek. Een organisatie bestaat uit diverse processen. Welke processen zijn er in uw organisatie om informatiebeveiliging te waarborgen? Naar technische oplossingen gaat vaak de meeste aandacht naar uit, omdat deze heel concreet zijn. Met betrekking tot informatiebeveiliging is de factor ‘mens’ ook een hele belangrijke. Als de genomen organisatorische en technische maatregelen namelijk niet worden uitgevoerd is het gevolg dat er nog steeds een verhoogd risico is.

Als voorbeeld een stoplicht: dat is een technische oplossing tegen het risico van aanrijdingen. Als organisatorische maatregel hebben we afgesproken dat we rijden bij groen, stoppen bij rood. Alleen als weggebruikers zich houden aan die afspraak, gaat de maatregel ook effect hebben. Daarbij is bewustzijn over het waaróm (verminderen van ongevallen) beter dan disciplinaire maatregelen (boetes).

5) Wetgeving

Uiteraard moet u rekening houden met van toepassing zijnde wet- en regelgeving. In tegenstelling tot de 3 factoren (mens, organisatie en techniek) uit het vorige punt, vernoemt de AVG alleen technische en organisatorische maatregelen. De verantwoordelijkheid voor de factor mens (die dus in de AVG niet wordt genoemd) ligt bij het management, soms zelfs hoofdelijk aansprakelijk.

U kunt dus volgens AVG goede beheersmaatregelen genomen hebben. Echter zonder de factor mens goed in overweging te nemen, is het de vraag of de beheersmaatregel ook daadwerkelijk risico’s verkleint. Laten we eens kijken wat dit in de praktijk betekent aan de hand van nog een voorbeeld:

Om controle te houden over wie het pand binnengaat, bepaalt een organisatie dat alle medewerkers een toegangsdruppel krijgen waarmee ze naar binnen kunnen. Deze maatregel wordt technisch ingevuld door ‘druppel-lezers’ te installeren, organisatorische door de druppels te koppelen aan specifieke medewerkers, en te zorgen dat ze er ook daadwerkelijk gebruik van maken. Met deze organisatorische en technische maatregel bent u al een heel eind, maar de factor mens zorgt uiteindelijk voor het succes van deze maatregel. Want waar bewaren uw medewerkers hun druppel? En gebruiken ze hem alleen voor zichzelf, of lenen ze hem ook aan anderen uit? Indien hier geen eenduidig beleid en invulling aan wordt gegeven, blijft het risico van ongewenste personen op uw locatie aanwezig.

Geef succesvol invulling aan ISO 27001 in uw organisatie - Download het  stappenplan

Uit deze voorbeelden is ook een duidelijke link te leggen naar de Verklaring van Toepasselijkheid die u op moet stellen als u uw managementsysteem voor informatiebeveiliging laat certificeren tegen ISO 27001. In deze verklaring stelt u welke beheersmaatregelen u heeft geïmplementeerd. Hierbij komen uiteraard de beheersmaatregelen voor de risico’s die u zelf heeft geformuleerd, maar de ISO 27001 norm geeft ook een leidraad in de vorm van Annex A.

Deze Annex A bevat 114 potentiële maatregelen waarmee geïdentificeerde risico’s kunnen worden bestreden of verkleind. In uw self-assesment op het gebied van informatiebeveiliging risico’s (en beheersmaatregelen) komen dus als het goed is onderdelen uit Annex A terug, eventueel aangevuld met de specifieke beheersmaatregelen voor uw situatie.

Hiermee is de Verklaring van Toepasselijkheid feitelijk een opsomming van de van toepassing zijnde onderdelen uit Annex A, mogelijk aangevuld met specifieke risico’s / beheersmaatregelen. Dit houdt tevens in dat u bij het opzetten van uw managementsysteem voor informatiebeveiliging niet alle 114 maatregelen hoeft te behandelen; als een maatregel voor uw situatie niet van toepassing is, moet u dat onderbouwd kunnen aangeven en is verdere uitwerking niet nodig.


Hanteer een effectieve risicobehandeling in informatiebeveiliging met het ISO 27001 stappenplan

Risicobehandeling in informatiebeveiliging kan een complex onderwerp zijn. Worstelt u ook met het vaststellen van risico’s en het komen tot de juiste beheersmaatregelen? Het ISO 27001 stappenplan neemt u stap voor stap mee in het opzetten van een managementsysteem voor informatiebeveiliging.

Download hier het ISO 27001 stappenplan. 

New Call-to-action

Onderwerpen:

Alle onderwerpen ISO 27001 informatiebeveiliging cybersecurity AVG

mail icons 2

Stel uw vraag over

Certificering van managementsystemen, keurmerken en andere schema's

Planning en service voor certificering

Customer Service Center Certificatie

TÜV Nederland