Naast tal van andere operationele uitdagingen bezorgt 'security' de meeste hoofdbrekens en onzekerheid voor de cio/ciso. 'Heb ik de juiste maatregelen genomen om onze data veilig te houden?' We weten het antwoord niet. Het is niet de vraag óf je gehackt wordt, het is de vraag wannéér je gehackt wordt.
Een van de betere oplossingen op het gebied van risicomanagement die ik ben tegengekomen werd ontwikkeld door oud-collega’s Helen Havinga en Olivier Sessink, en wordt al bij enkele ministeries met succes ingezet. De ontwikkelde methodiek is “opensource” en eenvoudig toepasbaar in zowel grote als kleine organisaties. In dit artikel vindt je de link naar de website waar voldoende templates en handleidingen zijn te vinden om meteen aan de slag te gaan. Dit artikel verwijst dus naar de website die door Sessink is opgezet om de opgedane kennis te delen. Ook hij hanteert het standpunt ‘delen is vermenigvuldigen’ en biedt dus een duidelijke meerwaarde doordat de ervaringen van anderen gedeeld worden en zorgen voor een continu verbetering van zijn methode.
Hoe werkt risicomanagement?
Allereerst dien je voor jezelf de vraag te stellen waartegen je de organisatie moet beschermen, wat zijn de dreigingen waaraan wij als organisatie mee te maken hebben. We zullen de organisatie moeten beschouwen per afdeling, zoals bijvoorbeeld hr, sales, finance. Iedere afdeling heeft zijn eigen risico’s afhankelijk van de soort data, de gevoeligheid van de data, de impact op de organisatie als de data gelekt wordt, et cetera. De dreigingen worden dan ook per afdeling in kaart gebracht. Hier kan een attack tree ondersteunend zijn in het begrijpen van de dreigingen en de impact op de organisatie, c.q. het organisatie onderdeel.
Al in 1999 schreef Bruce Schneier een prachtig en duidelijk artikel over het toepassen van attack trees.
Het is in de it een feit dat je nooit 100 procent veilig kunt zijn. Dat is een gegeven wat voor de beschreven techniek de grondslag is om te komen tot een ‘acceptabel’ niveau van beveiliging. Dat niveau kan dus per afdeling anders zijn. Er wordt gewerkt met een RRO, Risico Reductie Overzicht. In dit overzicht ga je ervan uit dat er altijd restrisico’s blijven nadat je een bepaalde hoeveelheid beveiligingsmaatregelen hebt toegepast. Het zal duidelijk zijn dat het aantal genomen maatregelen ook de uiteindelijke eenmalige en terugkerende kosten bepaalt.
Welk beeld geeft een RRO?
Een RRO geeft een overzicht van de risico’s die in kaart zijn gebracht, de restrisico’s, de maatregelen, worden de risico’s daadwerkelijk aangepakt en de impact van een verandering. Samen met een afdelingshoofd worden de risico’s voor die afdeling in kaart gebracht en de te nemen maatregelen besproken.
Bij het afstemmen van het evenwicht tussen maatregelen (budget) enerzijds en de restrisico’s anderzijds wordt het niveau van beveiliging bepaald. Het betreffend afdelingshoofd tekent voor akkoord de overeenkomst met it waarin duidelijk is beschreven welke maatregelen zijn/worden genomen en wat de restrisico’s zijn.
Hiermee legt de cio/ciso een groot stuk van de verantwoordelijkheid bij het afdelingshoofd. Uiteindelijk blijft de cio/ciso eindverantwoordelijk en zal ervoor moeten zorgen dat de genomen maatregelen op niveau blijven door updates, patches en regelmatige audits, waarbij steeds opnieuw moet worden gekeken naar veranderingen die nieuwe dreigingen met zich meebrengen.
Ik kan eenieder de methodiek van Sessink aanbevelen. Het werkt echt en met weinig moeite en kosten. Het maakt risico’s, maatregelen en restrisico’s bespreekbaar bij en tussen mensen met heel verschillende rollen.