In ons team van managementconsultants hebben we meerdere focusgebieden. Een daarvan is het adviseren over informatieveiligheid.
Daarbij hanteren we de term Governance, Risk en Compliancy (GRC) om te benadrukken dat wij vooral aan de proces- en de menskant zitten, en minder aan de technische kant. En dat zeg ik wat gechargeerd, want mijn collega’s zijn wel degelijk technisch goed onderlegd en daarbij schakelen ze, wanneer dat nodig is, met hun collega-specialisten, zoals bijvoorbeeld onze ethische hackers, secure coders en SIEM/SOC-specialisten. Omwille van mijn betoog laat ik echter de technische kant voor deze keer wat onderbelicht en richt ik mij in deze blog op de ‘zachte’ kant van informatiebeveiliging.
Vooropgesteld dat ikzelf zeker geen expert ben, wil ik graag mijn ideeën met je delen, omdat ik weet dat er in elke organisatie behoefte is aan praktische handvatten om informatieveiligheid op een goede manier met elkaar te bespreken. En voor wie denkt dat het met het aanstellen van een Chief Information Security Officer (CISO) allemaal wel geregeld is, kan het de moeite waard zijn om even verder te lezen.
Voor de CISO is het hoogstwaarschijnlijk niets nieuws, maar ben je net als ik geen specialist en wel geïnteresseerd, dan kunnen de onderstaande regels je goed helpen om binnen je organisatie de juiste discussies te voeren, vooral ook met je eigen CISO. Ten slotte is informatieveiligheid de verantwoordelijkheid van iedereen, toch?
sluit
Contact
Wil je zelf ook aan de slag met Informatieveiligheid?
src="https://mktdplp102cdn.azureedge.net/public/latest/js/form-loader.js?v=1.68.1056.0">“Everyone has a plan until they get punched in the mouth.”
De meeste organisaties zijn serieus met dit onderwerp bezig en hebben een Informatiebeveiligingsbeleid. En als je daar naar vraagt, krijg je in de meeste gevallen een keurig geschreven beleidsdocument, inclusief meerjarenplan. So far so good! Maar, hoor ik je denken, is dat dan voldoende, als het erop aankomt? Mike Tyson geeft het antwoord: nee. Plannen blijven plannen als je niet in actie komt. En ja, plannen zijn er niet voor niets en een goed plan werkt wel degelijk, maar er is meer nodig om uiteindelijk succesvol te zijn. Met vechtkunst als voorbeeld, neem ik je graag mee in mijn ideeën. Een mooie kapstok om het met elkaar te bespreken en om te bepalen of jouw organisatie er alles aan doet om optimaal voorbereid te zijn op de digitale risico’s die we tegenwoordig lopen.
Principe 1: Wees voorbereid
Een goede les uit de (vecht)sport is om voorbereid te zijn. Met andere woorden: ken je tegenstanders. Wie zijn ze die het op jouw organisatie en jouw data hebben voorzien? Wat zijn hun methoden en technieken en welke werkwijze zouden ze hanteren wanneer ze het op je gemunt hebben? Het is dus zaak om van perspectief te veranderen en je te verplaatsen in de ‘kwaadwillenden’. Dat kan iemand van buiten de organisatie zijn, maar sluit vooral niet uit dat de dreiging ook van binnenuit kan komen. Ik zet bewust even in op de dreiging van malafide figuren, maar dit principe is natuurlijk ook van toepassing op de dreiging die ontstaat door de onwetendheid of slordigheid van mensen. Ook daarop moet je als organisatie voorbereid zijn en je maatregelen hebben getroffen.
Binnen je organisatie moet hierover structureel nagedacht worden. Het is daarbij goed om te werken met scenario’s en persona’s om zo de risico’s in kaart te brengen en te classificeren. Threat modeling is alweer meer van technische aard, maar ook dat berust op hetzelfde principe. Door na te denken over wat er allemaal fout kan gaan, ben je voorbereid en de situatie voor. Laat je niet verrassen!
Principe 2: Wees getraind
Dreigingen zijn er, maar je merkt er niets van totdat wat er dreigde ook daadwerkelijk gebeurt. En wat dan? Zit het in het DNA van jouw organisatie om bliksemsnel te reageren op de manier zoals je dat had bedacht? Of moeten de experts de beschreven calamiteitsplannen erop naslaan en staat de rest met zijn armen in de lucht? De hele organisatie moet getraind zijn, omdat potentieel al je medewerkers geraakt worden. Trainen doe je in dit geval door te testen en te toetsen. Je test je systemen, je mensen en je processen. Niet eenmalig, maar op reguliere basis, zodat het voor iedereen een routine is geworden. Toetsen doe je aan de hand van afgesproken normen: voldoen we aan de gestelde eisen vanuit de ISO/NEN/BIO? Hebben we onze maatregelen getroffen? Alleen door te trainen wordt jouw organisatie een geoliede machine die bijtijds en effectief kan reageren op onverwachte situaties. Cruciaal is dat iedereen binnen de organisatie wordt betrokken en het niet alleen iets blijft van de security officer en de IT-afdeling.
Principe 3: Wees alert en anticipeer
Deze regel sluit naadloos aan op de vorige principes. Wanneer je getraind bent, weet je als organisatie wat je te doen staat als het zover is. Iedereen kent zijn taak en verantwoordelijkheid en verschillende scenario’s zijn meerdere keren getest. Maar hoe zorg je ervoor dat je niet nodeloos overvallen wordt door onverwachte situaties? Door te allen tijde alert te blijven en zoveel mogelijk te anticiperen. Bij informatiebeveiliging hebben we het dan over monitoring en preventieve maatregelen, zoals het voorlichten en betrekken van je medewerkers. .
Afwijkingen van het normale worden gesignaleerd bij het monitoren van je infrastructuur, je informatiestromen en je processenafhandeling. Doordat je voorbereid bent, weet je ook waar je op moet letten. Hierdoor ben je vroegtijdig in staat om afwijkingen te signaleren en daarop je maatregelen te treffen. Zo wordt erger voorkomen. Net als de alerte bokser die bijtijds een rechtse directe weet te ontwijken.
Het klinkt allemaal zo logisch en toch schort het er nog vaak aan. Monitoring vereist specialistische kennis en inspanning, terwijl veel andere preventieve maatregelen het werk van medewerkers vaak minder gemakkelijk maken.
Principe 4: Wees flexibel en snel
Agility is de Engelse term hiervoor. Het moge intussen duidelijk zijn: jouw organisatie moet voorbereid zijn op onverwachte situaties. De organisatie is getraind en iedereen weet wat hem of haar te doen staat. Toch gaat het meestal anders dan vooraf gedacht. En dan komt het aan op lenigheid, want je wilt niet uit het veld geslagen worden. Snel van aanpak veranderen is dan vereist. Het is belangrijk dat je als organisatie snel kunt reageren en flexibel bent. Een randvoorwaarde om snel in te kunnen spelen is duidelijkheid. Duidelijkheid in de te volgen procedures en de regels die daarbij gelden. Iedereen is op de hoogte van zijn eigen rol en kent zijn verantwoordelijkheden. Er wordt niet afwachtend naar elkaar gekeken of eindeloos overlegd als het erop aankomt. Beslissingen worden adequaat genomen, waarbij een kristalheldere communicatie met korte lijnen onontbeerlijk is.
Principe 5: Wees gefocust en doelgericht
Een belangrijke stelregel is dat je je niet op alles even goed kunt richten. Focus is dus belangrijk. Je hebt je voorbereid en weet dus waar je je op moet richten.
Kortom, je doet aan risicomanagement, een vakgebied op zich. Jouw organisatie maakt daarbij keuzes. Welke risico’s zijn voor ons acceptabel? Waar kunnen we mee leven en waarmee niet? Elke organisatie kent een bepaalde ‘risk appetite’ die eens in de zoveel tijd opnieuw door het management bepaald moet worden. Met deze kennis weet je welke risico’s niet ok zijn en actief beheerst moeten worden met zowel preventieve als mitigerende maatregelen. Continue en/of periodieke monitoring, analyse en beoordeling van de risico’s gebeurt hierdoor zo doelgericht mogelijk en zonder verspilling van tijd en geld.
Principe 6: Wees bereid om te leren
Informatiebeveiliging is een continu proces, een kwaliteitscirkel. En dat betekent dat je alleen maar verder komt door te leren van wat goed ging en wat beter moet. Trainen zorgt voor routine, leren voor vooruitgang. Testen en toetsen kennen uitkomsten. Leer daarvan door ze te analyseren en om te zetten in verbeteringen. Een open bedrijfscultuur waarin het gezamenlijke belang – van in dit geval veilige informatie – prevaleert boven het eigen belang van individuen, voorkomt dat er naar de zondebok gezocht wordt en stimuleert het trekken van lessen én het verbeteren van het informatiebeveiligingsbeleid. Hoe gaat dat in jouw organisatie? Kennen jullie een structuur waarin incidenten systematisch geëvalueerd worden en de uitkomsten daadwerkelijk worden vertaald naar verbeteringen?
Principe 7: Wees integer
Een goede les is om integer te zijn en altijd zo te handelen. Het is niet goed om kwaad met kwaad te bestrijden en zelfs niet geoorloofd. En dat is maar goed ook. Het betekent wel dat in het beleid hiermee rekening moet worden gehouden. Hoe garandeer je dat je als organisatie integer bent, als daar geen aandacht aan wordt geschonken?
Een integer beleid houdt in deze context in dat je met name de eigen medewerkers behandelt vanuit vertrouwen. Zij hebben het goede met de organisatie voor, totdat het tegendeel bewezen is. Een beleid waarin medewerkers structureel en zonder concrete aanleiding (digitaal) gevolgd worden, misschien zelfs zonder het te weten, is laakbaar. Daarentegen is het wel goed om medewerkers te informeren over en te betrekken bij het gevoerde informatiebeveiligingsbeleid. Transparantie helpt bij het creëren van een veilige cultuur waarin mensen zich (bijtijds) uitspreken over incidenten, een randvoorwaarde om in te kunnen grijpen voor het te laat is.
In dit kader is het ook belangrijk om oog te hebben voor medewerkers die kwetsbaar zijn voor mogelijke informatiebeveiligingsincidenten. Mensen op cruciale posities of mensen die vatbaar zijn voor chantage kunnen voor dilemma’s komen te staan die de organisatie bedreigen. Ook deze dilemma’s dienen voortijdig in kaart gebracht te zijn en regelmatig aandacht te krijgen, zodat de betreffende collega’s beschermd worden. Dat kan door ze voor te lichten en te instrueren, maar ook door extra procedurele maatregelen te treffen, waardoor het gevaar ingedamd wordt.
Principe 8: Blijf professioneel en in balans
Om even terug te komen op de quote van Mike Tyson, zodra je een klap in je gezicht krijgt, heb je de neiging om er vol in te gaan en vanuit gevoel en emotie te reageren. Denk maar niet dat het met informatieveiligheidsincidenten veel anders is. Zeker als het je niet vaak overkomt en de bovenstaande principes binnen jouw organisatie in beperkte mate van toepassing zijn, is de kans groot dat je emotioneel reageert. Natuurlijk hanteer je de met elkaar opgestelde procedure Melding Datalekken, maar daarna? Weet je zeker dat je rationele keuzes maakt en het incident als een incident blijft beschouwen? Of reageer je emotioneel, waardoor het beleid losgelaten wordt wanneer het spannend wordt en de maatregelen afhankelijk zijn geworden van de meest recente ervaringen of opvattingen?
Leren is zoals gezegd van groot belang, maar het volgen van een doordacht en weloverwogen groeipad waarin ervaringen in context worden geplaatst, is nog belangrijker. Zo blijf je rationeel en slim naar de uitdagingen van jouw organisatie kijken en worden de juiste beslissingen genomen.
Een laatste kanttekening
Het is nooit mijn bedoeling geweest om een uitputtende verhandeling te houden over dit complexe vakgebied. Mijn opzet is om aan de hand van deze metafoor het mogelijk te maken om als leek eens op een andere manier te kijken naar de informatiebeveiliging binnen jouw organisatie. Het biedt wellicht een kapstok om het gesprek aan te gaan met je collega’s, die dagelijks met dit onderwerp bezig zijn en die soms het idee hebben dat het allemaal bij hen ligt. Het op orde hebben van dit onderdeel van de bedrijfsvoering is niet iets extra’s, iets dat iemand anders wel regelt. In tegendeel, het zou in het spreekwoordelijke DNA van de organisatie moeten zitten om er continu mee bezig te zijn. Het gaat iedereen aan, ook al zijn het de security experts die weten hoe in de ring te stappen!
