Deze tekst is nog in bewerking.

Wat voor beeld heeft u bij informatiebeveiliging? Heeft u een direct een associatie met harde technologie zoals netwerken, firewalls en proxies? Of denkt u eerst aan de bedrijfsmatige kant zoals risicomanagement en de continuïteit van uw bedrijf en bedrijfsprocessen? Als het goed is, denkt u aan beiden.

Informatiebeveiliging gaat om het managen van risico’s die de organisatie loopt met betrekking tot de beschikbaarheid, integriteit en vertrouwelijkheid van de informatie. De beveiliging van de technische infrastructuur en de beveiligingsmogelijkheden die de techniek biedt, zijn hiervan een afgeleide. De focus dient daarom in eerste instantie gericht te zijn op de risico’s die een organisatie vanuit bedrijfskundig oogpunt loopt. Meestal zijn dit financiële schade en reputatieschade. Deze risico's dienen gewogen te worden (kans, impact) en op basis van deze uitkomst dienen de mogelijke maatregelen vastgesteld, geselecteerd en geïmplementeerd te worden. Uiteraard dienen de maatregelen haalbaar en verantwoord te zijn.

 

Invalshoeken

Bij de implementatie van informatiebeveiliging zijn twee werkwijzen mogelijk die vaak gelijktijdig worden gehanteerd:

  • Planmatig - Organisatorische inbedding van informatiebeveiliging
  • Pragmatisch - Situationele bepaling

Beide invalshoeken zijn complementair aan elkaar. Het hanteren van een goede mix helpt u een evenwichtig informatiebeveiligingsbeleid te definiëren en te implementeren die voldoet aan de eisen die daaraan gesteld worden.

 

De planmatige benadering

De planmatige benadering is een topdown-benadering die ervan uitgaat dat het beleid door het topmanagement wordt geformuleerd en vervolgens via de lijn wordt geïnterpreteerd en belegd bij de verantwoordelijke eenheden en personen. Visueel kan dit als volgt worden weergegeven:

Figuur: De Security Triangle

 

Figuur: Gedeeltelijke invulling informatiebeveiligingsbeleid

Informatiebeveiliging is dus altijd in enige vorm aanwezig; zowel op strategisch, tactisch en operationeel niveau. Waar het vervolgens om gaat is om alle losse componenten een logische samenhang te geven en de ontbrekende stukjes in te vullen. Zoals bij de planmatige aanpak staat beschreven, start dit met het vaststellen van een strategisch beleidsplan. Waarom? Omdat dit het commitment van het topmanagement vereist en daardoor draagvlak binnen de organisatie ontstaat om de plannen verder binnen de organisatie uit te dragen. Bovendien is het beleid de basis voor het informatiebeveiligingsplan dat alle losse beveiligingselementen (de gekleurde vlakjes) met elkaar verbindt in verschillende losse implementatieplannen.

Voorbeelden van deze losse elementen op strategisch niveau is de beleidsuitspraak dat onbevoegden geen toegang mogen hebben tot de interne netwerkinfrastructuur. Op tactisch niveau heeft men ook niet stilgezeten en heeft de ICT-afdeling procedures en richtlijnen vastgesteld voor het inrichten van internet- en mailservers om te zorgen voor een veilig dataverkeer. Ook zijn firewalls en IDS-en geïnstalleerd om te voorkomen dat kwaadwillende personen schade op het netwerk kunnen aanrichten.

Op operationeel niveau worden nieuwe medewerkers gescreend door middel van een VOG (Verklaring omtrent Gedrag) en het natrekken van referenties. Kortom, tal van initiatieven die goed bedoeld zijn maar op een hoger niveau niet samenkomen in een duidelijk geformuleerd beleid.