Er komt nogal wat kijken bij het opzetten en implementeren van een informatiebeveiliging managementsysteem. Zo moet u bijvoorbeeld het informatielandschap met zijn kroonjuwelen in kaart brengen en de risicoanalyse uitvoeren. Nadat u dit in kaart heeft gebracht is het zaak om de risico’s te behandelen om de kans dat ze voorkomen en/of de impact te verkleinen. Er zijn veel zaken om rekening mee te houden, in dit blog geven we 5 belangrijke attentiepunten.
Voor alle risico’s geldt dat er verschillende manieren zijn om met deze risico’s om te gaan. Grofweg zijn er op hoofdlijnen 3 manieren aan te duiden. Deze werken we verder uit op basis van het voorbeeld van inbraak in een fysieke locatie (bijvoorbeeld een bedrijfspand).
Deze 3 manieren voor het omgaan met risico’s kunt u ook uitstekend toepassen op risico’s met betrekking tot informatiebeveiliging.
Een baseline is een set aan maatregelen die een bepaald niveau van beveiliging dienen te realiseren. In veel gevallen zal de baseline zorgen voor een basis (minimaal aanvaardbaar) risiconiveau. Maar u wilt wellicht meer. Uw ambitie is bijvoorbeeld om uw informatiebeveiliging van een 2,5 (baseline) naar een 4 (op een schaal van 0 tot 5) te tillen. Daarvoor moet u vaststellen wat het volwassenheidsniveau is. Hiervoor kunt u bijvoorbeeld het Capability Maturity Model gebruiken, dat 5 niveau’s van volwassenheid onderscheid:
Het ene risico vergt meer tijd en moeite om de juiste maatregelen tegen te nemen dan het andere. Begint u met een quick win (om snel een resultaat te boeken) voor een wellicht wat kleiner risico, of is het verstandig om met het grote project te starten waarin u maatregelen gaat nemen tegen grote risico’s?
De waarheid zal in veel gevallen ergens in het midden liggen, dus een combinatie van beiden. Zo maakt u voortgang in het grote project, en kunt u tevens een resultaat presenteren bij het inrichten van een quick win. De beste verbeteringen zijn daarbij vaak aanpassingen van maatregelen die toch al in één of andere vorm aanwezig waren in uw organisatie.
Succesvolle informatiebeveiligings-beheersmaatregelen zijn altijd een combinatie van de factoren mens, organisatie en techniek. Een organisatie bestaat uit diverse processen. Welke processen zijn er in uw organisatie om informatiebeveiliging te waarborgen? Naar technische oplossingen gaat vaak de meeste aandacht naar uit, omdat deze heel concreet zijn. Met betrekking tot informatiebeveiliging is de factor ‘mens’ ook een hele belangrijke. Als de genomen organisatorische en technische maatregelen namelijk niet worden uitgevoerd is het gevolg dat er nog steeds een verhoogd risico is.
Als voorbeeld een stoplicht: dat is een technische oplossing tegen het risico van aanrijdingen. Als organisatorische maatregel hebben we afgesproken dat we rijden bij groen, stoppen bij rood. Alleen als weggebruikers zich houden aan die afspraak, gaat de maatregel ook effect hebben. Daarbij is bewustzijn over het waaróm (verminderen van ongevallen) beter dan disciplinaire maatregelen (boetes).
Uiteraard moet u rekening houden met van toepassing zijnde wet- en regelgeving. In tegenstelling tot de 3 factoren (mens, organisatie en techniek) uit het vorige punt, vernoemt de AVG alleen technische en organisatorische maatregelen. De verantwoordelijkheid voor de factor mens (die dus in de AVG niet wordt genoemd) ligt bij het management, soms zelfs hoofdelijk aansprakelijk.
U kunt dus volgens AVG goede beheersmaatregelen genomen hebben. Echter zonder de factor mens goed in overweging te nemen, is het de vraag of de beheersmaatregel ook daadwerkelijk risico’s verkleint. Laten we eens kijken wat dit in de praktijk betekent aan de hand van nog een voorbeeld:
Om controle te houden over wie het pand binnengaat, bepaalt een organisatie dat alle medewerkers een toegangsdruppel krijgen waarmee ze naar binnen kunnen. Deze maatregel wordt technisch ingevuld door ‘druppel-lezers’ te installeren, organisatorische door de druppels te koppelen aan specifieke medewerkers, en te zorgen dat ze er ook daadwerkelijk gebruik van maken. Met deze organisatorische en technische maatregel bent u al een heel eind, maar de factor mens zorgt uiteindelijk voor het succes van deze maatregel. Want waar bewaren uw medewerkers hun druppel? En gebruiken ze hem alleen voor zichzelf, of lenen ze hem ook aan anderen uit? Indien hier geen eenduidig beleid en invulling aan wordt gegeven, blijft het risico van ongewenste personen op uw locatie aanwezig.
Uit deze voorbeelden is ook een duidelijke link te leggen naar de Verklaring van Toepasselijkheid die u op moet stellen als u uw managementsysteem voor informatiebeveiliging laat certificeren tegen ISO 27001. In deze verklaring stelt u welke beheersmaatregelen u heeft geïmplementeerd. Hierbij komen uiteraard de beheersmaatregelen voor de risico’s die u zelf heeft geformuleerd, maar de ISO 27001 norm geeft ook een leidraad in de vorm van Annex A.
Deze Annex A bevat 114 potentiële maatregelen waarmee geïdentificeerde risico’s kunnen worden bestreden of verkleind. In uw self-assesment op het gebied van informatiebeveiliging risico’s (en beheersmaatregelen) komen dus als het goed is onderdelen uit Annex A terug, eventueel aangevuld met de specifieke beheersmaatregelen voor uw situatie.
Hiermee is de Verklaring van Toepasselijkheid feitelijk een opsomming van de van toepassing zijnde onderdelen uit Annex A, mogelijk aangevuld met specifieke risico’s / beheersmaatregelen. Dit houdt tevens in dat u bij het opzetten van uw managementsysteem voor informatiebeveiliging niet alle 114 maatregelen hoeft te behandelen; als een maatregel voor uw situatie niet van toepassing is, moet u dat onderbouwd kunnen aangeven en is verdere uitwerking niet nodig.
Risicobehandeling in informatiebeveiliging kan een complex onderwerp zijn. Worstelt u ook met het vaststellen van risico’s en het komen tot de juiste beheersmaatregelen? Het ISO 27001 stappenplan neemt u stap voor stap mee in het opzetten van een managementsysteem voor informatiebeveiliging.
Download hier het ISO 27001 stappenplan.