Er gebeurt een hoop in de wereld van de virussen en de Trojaanse paarden. Melissa stuurt al je vrienden een kopie van zichzelf. Back Orifice geeft al je vijanden toegang tot je PC. Happy 99 stuurt de hele wereld e-mail onder jouw naam. Geen wonder dat informatiebeveiliging de laatste tijd weer volop in de belangstelling staat.
Voor managers is informatiebeveiliging een lastig onderwerp. Het kost geld en het draagt geen cent bij aan de winst. Tenminste, niet direct. In het beste geval bereik je met al je investeringen dat er niets gebeurt. En net als bij een huis of een tuin blijf je bezig met klein en groot onderhoud. Het houdt niet op. Sommige mensen worden daar een beetje verdrietig van. Hoeft niet, want beveiliging heeft genoeg aardige kanten. Een van die kanten is dat alles erin zit: techniek, management, financiën, en vooral: mensen. Want beveiliging is en blijft natuurlijk mensenwerk. Je kunt nog zoveel geld uitgeven aan hang- en sluitwerk, als je het raam open laat staan wordt er toch ingebroken. De grote vraag is: hoe krijg je mensen zover dat ze het raam dicht doen? Als u het antwoord kent, laat het me weten.
Managers besteden hun geld graag aan de goede dingen. Dat is bij beveiliging ook zo. Het geld dat je aan beveiliging uitgeeft, kun je ook aan meer winstgevende activiteiten besteden. Beveiliging is daarom vaak een kwestie van kiezen. Alle systemen zijn belangrijk, maar sommige systemen zijn belangrijker dan andere. Bepaal welke systemen belangrijk zijn en welke niet, en stem je beveiligingsmaatregelen daar op af. Een gezond principe, zou je zo zeggen. Het is in de vorm van de afhankelijkheidsanalyse en kwetsbaarheidsanalyse één van de uitgangspunten van het Besluit Voorschrift Informatiebeveiliging Rijksdienst (VIR), dat vorig jaar vier jaar bestond. Er is inmiddels een heel scala aan hoogwaardige methodieken en hulpmiddelen om risico-analyses uit te voeren, van het Engelse Cramm tot het puur Nederlandse Esaka. Het spreekt voor zich dat we in Nederland niet alleen zoveel mogelijk verschillende methodieken gebruiken, maar dat we ook uitvoerig discussiëren over welke methodiek de beste is.
Risico-analyses ontaarden soms in academische oefeningen die maanden kunnen duren. Wat het uiteindelijk oplevert, is niet altijd even duidelijk. Vaak blijkt na afloop dat de IT-omgeving een bonte kluwen is, die zich nauwelijks laat ontwarren. Belangrijke systemen zijn soms afhankelijk van minder belangrijke systemen. Belangrijke en minder belangrijke systemen zijn vaak afhankelijk van één en dezelfde infrastructuur. En ogenschijnlijk onbelangrijke systemen – kantooromgevingen – zijn vaak veel belangrijker dan iedereen had gedacht. Het eind van het liedje is dat 90 procent van de systemen goed beveiligd moet worden. De minder belangrijke systemen blijken vaak gemakkelijk te kunnen meeliften met de belangrijke systemen. De investering moet immers toch gedaan worden. Het is een bekend verhaal. Wie alles in één keer regelt, is sneller klaar en vaak ook nog goedkoper uit.
Moeten we in het vervolg de risico-analyse maar helemaal overslaan, en meteen een baseline-aanpak uitvoeren? Dat druist een beetje in tegen het gezonde verstand. Moet een gewoon huis-tuin-en-keukenservertje dezelfde behandeling krijgen als een kritisch ordersysteem? Antwoord: wel als dat sneller, goedkoper en simpeler is. Toch zijn er veel situaties waarin het uitvoeren van een risico-analyse zeer nuttig of zelfs noodzakelijk kan zijn. Bijvoorbeeld voor een nieuwe manager die onvoldoende inzicht in zijn informatiesystemen heeft om een goede beslissing te kunnen nemen. Of bij IT-omgevingen met een duidelijke scheiding tussen belangrijke en minder belangrijke informatiesystemen. Of voor organisaties die niet over één nacht ijs willen gaan voordat ze ingrijpende maatregelen treffen. Ook in die gevallen is het meestal lonend om het Kiss-principe te hanteren en de risico-analyse zo simpel mogelijk te houden. Beveiliging is al lastig genoeg.