De 4 geboden van risicomngt, de waarden van een organisatie en Informatieveiligheid

Auteur: Manu Steens en Joris Bouve met dank aan Hilde Van Nijen

De belangrijkste bedoeling van informatieveiligheid is m.i. het risico-besef (awareness) van de medewerkers. De mens is immers de zwakste schakel. Risico-besef gaat zowel in twee richtingen. Enerzijds gaat dit over awareness van de business m.b.t. informatieveiligheid: waar knelt het schoentje en wat kan technisch en wat moet je zelf doen. Anderzijds gaat het ook over de awareness van de ICT mensen: wat moeten zij weten dat de business belangrijk vindt en wat niet. Meer doen is dikwijls onverantwoord en geeft aanleiding tot “geld over de balk gooien”.

Wat & Waarom?

Het doel van informatieveiligheid is zorgen voor de betrouwbaarheid van informatiesystemen.  Die betrouwbaarheid wordt bekeken vanuit volgende drie invalshoeken:

  • Vertrouwelijkheid (Confidentiality): het waarborgen dat informatie alleen toegankelijk is voor diegenen, die hiertoe zijn geautoriseerd
  • Integriteit (Integrity): het waarborgen van de correctheid en volledigheid van de informatie.
  • Beschikbaarheid (Availability): het waarborgen dat geautoriseerde gebruikers op de juiste momenten tijdig toegang hebben tot de informatie/informatiesystemen

Dit kan natuurlijk alleen maar door een samenhangend pakket van maatregelen te treffen, te onderhouden en te controleren. Het gaat over het algemeen over informatie die is opgeslagen in informatiesystemen, maar ook opgeslagen kan zijn in papieren dossiers.

Het informatieveiligheidsbeleid van de organisatie is erop gericht om, op basis van risicomanagement, te verzekeren dat de informatie van de organisatie correct en volledig is en tijdig toegankelijk voor de geautoriseerde personen.

Hoe?

Om op een adequate wijze aan informatieveiligheid, te doen, moeten maatregelen uitgewerkt worden om de confidentialiteit (C), integriteit (I) en de beschikbaarheid (A: availability) te kunnen borgen.
Het is niet eenvoudig om hiervoor algemeen geldende criteria vast te leggen, omdat deze kunnen verschillen van departement tot departement binnen een organisatie, zelfs tussen teams binnen een departement kunnen de noden anders liggen.

Deze maatregelen moeten bovendien inspelen op volgende domeinen:

  • Mensen en Middelen,
  • Inhoud,
  • Systemen
  • Samenwerking (op procesniveau en overkoepelend).

Als hulpinstrument hebben wij hiervoor onderstaande matrix uitgewerkt. In deze matrix worden de vier domeinen benaderd vanuit de drie invalshoeken. Voor elke combinatie hebben wij een aantal richtvragen opgesteld. Voor deze richtvragen hebben wij ons geïnspireerd op de “vier geboden van risicomanagement” (zie verder). Met deze richtvragen kan ieder personeelslid aan de slag. Maar deze richtvragen zijn ook uitermate geschikt om een duidelijker zicht te krijgen op informatieveiligheid (zowel vanuit het standpunt van de “business” als vanuit het standpunt van IT).

Mensen en middelen Samenwerking op procesniveau en overkoepelend Systemen Inhoudelijk
C Wat deel je met wie? Welke toegangen heb je nodig? Kent iedereen de veiligheids-verantwoordelijke? Wat is de bedoeling van het management met hun informatieveilig-heidsbeleid? Blijft de vertrouwelijke informatie binnen vertrouwelijke kringen? Zijn deze kringen door iedereen gekend? Welke zaken moet je kunnen om tot de systemen toegelaten te worden? Is hiervoor een achtergrond-onderzoek nodig? Wie coördineert dit? Aan welke veiligheidsgerelateerde wetten moet je organisatie voldoen  (privacy, ISO-normen, BCM,…)?
I Heeft iedereen goede bedoelingen? Is hiervoor een achtergrond-onderzoek nodig? Zijn de processen uitgetekend en gecontroleerd op bugs en fouten? Werd de flow van het proces getest? Worden de systemen regelmatig onderhouden en getest? Is dat nodig? Hoe belangrijk is de juistheid van de inhoud? Gebruik je vrijwillige foutenintroductie ten behoeve van de vertrouwelijkheid?
A Welke mensen en zaken heb je nodig om je werk veilig te kunnen doen? Wat met een uitval van systemen? Mensen? Gebouwen? Faciliteiten? Leveranciers? Is er een Risicoanalyse gemaakt voor informatieveiligheid? Wie heeft fysieke toegang tot welke systemen? Wie heeft logische toegang tot welke systemen? Wanneer? Is er een SLA met leverancier? Wanneer heb je de informatie nodig? Zijn deze afhankelijk van het tijdstip in het jaar?

 

Antwoorden op deze vragen zijn dan de criteria waaraan informatieveiligheid binnen de organisatie moet voldoen.

De vier geboden van risicomanagement en vier waarden: openheid, daadkracht, vertrouwen en wendbaarheid

Risico-beseffend gedrag is terug te brengen tot de volgende vier geboden:

  1. Berokken jezelf geen schade, tenzij je er beter van wordt;
  2. Berokken niemand schade, tenzij hij/zij er beter van wordt;
  3. Maak niets stuk, tenzij je met de onderdelen iets beter kan maken;
  4. Grijp je kansen, tenzij dit in strijd is met regels 1, 2 of 3.

Deze vier geboden zijn

  • eenvoudig
  • gemakkelijk te onthouden
  • duidelijk toepasbaar

Bovendien zijn deze geboden vrij eenvoudig te linken aan de waarden van een organisatie. Ter illustratie geven we hier hoe deze passen binnen de waarden openheid, daadkracht, vertrouwen en wendbaarheid.

Openheid:

Regel 2: berokken niemand schade is hierop van toepassing. Bijvoorbeeld openheid van bestuur is maar geldig zolang iemand betrokken partij is. Ook de privacywetgeving huldigt dit principe dat een persoon beroep kan aantekenen tegen de verwerking van zijn gegevens. Bovendien staat de privacywetgeving vooral toe om met statistieken naar buiten te komen, niet om hart en ziel van een individu tegen zijn zin bloot te leggen. Er mag dus transparantie zijn, maar met de juiste mate: de mate waarin je niemand kwetst.

Daadkracht:

Regel 3: maak niets stuk en regel 4: grijp uw kansen. Daadkracht binnen de organisatie is scheppend bedoeld. Om de klant beter te dienen kan het evenwel nodig zijn om daadkrachtig te zijn en bestaande structuren af te breken en betere structuren te bouwen. Daarvoor moet men de wegen binnen de organisatie kennen om doeltreffend op te kunnen treden. En als men de doelen kent en de weg er naar toe, is het zaak om de kansen te grijpen.

Vertrouwen:

Regel 2: berokken niemand schade en regel 1: berokken jezelf geen schade. In de organisatie is het van ultiem belang dat iedereen in hen vertrouwen heeft. Dit geldt zowel voor de klant als voor de medewerkers. Je moet voldoende zelfvertrouwen hebben dat je de goede kant uit gaat met wat je voor de markt doet. Indien daarbij mensen elkaar zinloos pijn doen, zal dit vertrouwen snel geschonden worden.

Wendbaarheid:

Dit betekent dat bij regels 1 tem 4 steeds uitzonderingen kunnen horen.

Maar het betekent ook regel 4: grijp je kansen. Even afdwalen van de gekozen weg kan een aantal voordelen opleveren die je anders had laten liggen. Goed uitkijken naar opportuniteiten en deze aanpakken is dus eveneens de boodschap !

Manu Steens

Manu werkt bij de Vlaamse Overheid in risicomanagement en Business Continuity Management. Op deze website deelt hij zijn eigen mening over deze en aanverwante vakgebieden.

Leave a Reply

Your email address will not be published. Required fields are marked *

Recent Posts