De 10 stappen van informatiebeveiliging – Deel 5: Evalueren & Compliancy
Zie hier:- Deel 1: Doel & Inventaris– Deel 2: Prioriteiten & Kwetsbaarheden– Deel 3: Bedreigingen & Risico’s– Deel 4: Beveiliging & Afdwingen– Deel 5: Evalueren & CompliancyStap 9: Evalueren9.1 Het pandU heeft geïnvesteerd in oplossingen om bepaalde risico’s af te dichten. Uiteraard wilt u dan ook regelmatig evalueren of dit het gewenste resultaat oplevert. Dat betekent bijvoorbeeld dat een medewerker wordt aangesteld om de beelden van camera’s in de gaten te houden. Misschien is een camera niet goed gericht, of is voor bepaalde ruimtes eigenlijk een nachtcamera nodig.Een verandering van het gebruik van een ruimte of een nieuwe gebruiker levert een nieuwe situatie op, dus alle facetten van beveiliging binnen het bedrijf moeten regelmatig worden geëvalueerd. De kennis van hoe een inbraak in een bepaalde ruimte heeft kunnen plaatsvinden, geeft meteen aanwijzingen voor een aanpassing van het beleid. Kortom, alle aanpassingen van het pand, de gebruiker en het beleid moeten regelmatig de revue passeren.Omdat de evaluatie verschillende onderdelen van het bedrijfsproces beslaan (camerabeveiliging, receptie, personeelsbeleid) is het dan ook logisch dat deze evaluatie op directieniveau plaatsvindt.9.2 Het netwerkOok beveiligingssystemen voor computernetwerken moeten worden gecontroleerd. Zo kan worden vastgesteld of deze in staat zijn om de gesignaleerde kwetsbaarheden en risico’s op te lossen, of dat door de inzet ervan heel andere problemen ontstaan. Een beveiligingsmaatregel kan in theorie ook zaken blokkeren die gewoon doorgang moeten vinden. Zoiets als het schoonmaakbedrijf dat per ongeluk was overgeslagen toen de toegangspasjes werden uitgedeeld en daarom haar werk niet kan doen. Regelmatig evalueren betekent dat fouten in de systemen kunnen worden gesignaleerd en opgelost. Maar ook dat het gewenste resultaat is bereikt.Stap 10: Compliancy10.1 Het pandMet compliancy wordt bedoeld dat bewezen kan worden dat voldaan wordt aan het vastgestelde beleid. Dit is de laatste stap van de cyclus en vormt het bewijs dat u net zo veilig bent als u denkt te zijn. Als het doel is dat onbevoegden buiten de deur worden gehouden, dan moet alles wat daaraan gedaan kan worden ook functioneren. Het alternatief is om af te wachten totdat het fout gaat om vervolgens te concluderen dat de beveiliging dus NIET functioneert. Met alle schade van dien. U bent als eindverantwoordelijke waarschijnlijk niet de enige die bewijs wilt zien van een werkend beveiligingssysteem. Ook de verzekeringsmaatschappij zal bewijs van gedegen beveiliging willen zien voordat zij in geval van calamiteiten overgaat tot uitkering. En niet alleen de verzekering, maar soms ook financiers, zoals de aandeelhouders in beursgenoteerde ondernemingen, willen in het jaarverslag een uitvoerige rapportage vinden over Risk Management and Control.10.2 Het netwerkOok op het gebied van ICT-beveiliging is soms sprake van ‘audits’ om de risico’s en het beheren daarvan te testen. Deze audits worden voor sommige sectoren verplicht gesteld, bijvoorbeeld om “PCI-compliancy” aan te tonen. PCI-DSS is een richtlijn die wordt opgelegd aan partijen die te maken hebben met credit-card betalingen.In de zorgsector in Nederland is de NEN7510 norm een bekende richtlijn met betrekking tot ICT beveiliging. Juist in deze sector wordt gewerkt met zeer privacy gevoelige informatie en het is daarom een kwestie van tijd voordat een dergelijke richtlijn ook wetgeving zal worden. Op deze norm worden tegenwoordig actief audits uitgevoerd, met als doel ‘compliancy’ via marktwerking af te dwingen. Op Europees en Nederlands niveau wordt gewerkt aan een zogenaamde “data breach notification” wetgeving. Iets dergelijks is al van toepassing in landen als de Verenigde Staten, het Verenigd Koninkrijk en Duitsland. Deze wetgeving dwingt een organisatie waarvan data kwijt is, daarvan publiekelijk melding te maken. Een soort schandpaal-effect. In veel van die wetgeving is geregeld dat wanneer de organisatie in kwestie kan aantonen dat de verloren data “versleuteld” is geweest, en dus onbruikbaar is, de meldingsplicht vervalt of milder is.De mogelijkheid om te kunnen bewijzen dat voldaan wordt aan het beleid, is dus belangrijk voor interne maar ook voor externe controles.NawoordInformatiebeveiliging begint bij beleid. Met behulp van een aantal eenvoudige voorbeelden, van gisteren en van vandaag, heb ik geprobeerd te illustreren dat de keuzes die gemaakt moeten worden eigenlijk vrij basaal en eenvoudig zijn. In de dagelijkse praktijk constateren wij echter dat in veel organisaties dat fundamentele beleid, dat eenvoudige basiswerk, juist ontbreekt.Als bestuurder heeft u een sleutelrol in informatiebeveiliging. Om het goed te laten verlopen, is vereist dat u bij stap 1 en 10 actief betrokken bent. Dus enerzijds bij het bepalen van het beleid, anderzijds bij de controle op naleving daarvan. Alle tussenliggende stappen zijn goed over te laten aan uw beheerders, maar door de benodigde handelingen te kennen, kunt u erop toezien dat ze ook worden uitgevoerd.Roep nu uw ICT-specialisten bijeen met de vraag: Jullie beheren de kluis van deze organisatie. Is die kluis wel op slot?Waar te beginnen? Wilt u informatiebeveiliging laten werken, roep dan binnenkort eens op de ICT-afdeling dat u het voorkomen van dataverlies als één van uw prioriteiten ziet en daar vanaf nu de eindverantwoordelijkheid voor neemt. Roep dan een team van specialisten bijeen en neem twee uur de tijd om hun verhalen en ideeën aan te horen. Leg ze dan die vraag voor of die kluis ook daadwerkelijk op slot is.Ik voorspel u: gejuich alom.Deze artikelenreeks wordt u aangeboden door DearBytes, adviseur in beveiliging van IT-systemen en kostbare informatie. Al 10 jaar helpen zij als All-Round Security Specialist hun relaties met informatiebeveiliging. Niet alleen met uitgebreide theoretische kennis, maar juist met praktische oplossingen voor bedrijven en organisaties. De tekst is geschreven door Erik Remmelzwaal, algemeen directeur van DearBytes.Meer weten over risicomanagement? Ga naar www.dearbytes.nl/dear360