11 uitgangspunten voor een goede beveiliging
Gepubliceerd: Woensdag 7 oktober 2009
Auteur: Roger A.Grimes
Afgezien van wat er specifiek in een bedrijf speelt, zijn er bepaalde zaken waar je extra aandacht aan moet besteden bij het beveiligen van een bedrijfsomgeving.
Bij beveiliging gaat het niet alleen om technische aspecten. Waar het vooral veelal aan ontbreekt is goed management. Het gaat erom dat je snel oppikt waar de knelpunten liggen. En natuurlijk moet je niet direct helemaal over je toeren raken bij de eerste de beste panieksituatie, net zomin als je verkopers mag geloven op hun mooie blauwe ogen.
Als je mij vraagt waar je je op moet concentreren om het veiligheidsrisico te verkleinen, dan kan ik je, zonder de details te kennen over wat er in je bedrijf speelt, de volgende adviezen geven.
1. Vergeet nooit dat veiligheid vooral gaat over de data. We doen niet wat we doen om onze gebruikers, computers of software te beschermen. We doen het - inclusief het beschermen van de gebruikers tegen zichzelf - om de data te beschermen. Als iemand een veiligheidsprobleem of -oplossing te berde brengt, bedenk dan vooral wat voor impact het heeft op de data.
2. Definieer eisen en gaten. Begin met het definiëren van het algemene probleem. Breng alle relevante zakelijke en juridische eisen in kaart. Soms gaat dit keurig van boven naar beneden, maar andere keren heeft elke afdeling van de zaak verschillende eisen. Meestal is er overigens spraken van een combinatie van de twee.
Nadat je de eisen hebt gedefinieerd, moet je je concentreren op de gaten. Waar kunnen de huidige processen worden verbeterd? Wat ontbreekt er? Wat wordt er goed gedaan en wie is daarbij betrokken? Bedenk dat je mensen die zich betrokken voelen meestal wel meer verberingen kunt toevertrouwen. Betrek er ook managers bij, de IT-afdeling, eindgebruikers en de broodnodige andere departementen, zoals de juridische afdeling.
Van elk potentieel beveiligingsgat moet worden bekeken hoe gevaarlijk het is. Berekeningen van het beveiligingsrisico moeten rekening houden met het werkelijke gevaar, het potentiële gebied dat gevaar loopt en de potentiële kosten als het verkeerd loopt. Gaten die het hoogste beveiligingsrisico vormen moeten het eerste worden gedicht. Vanzelfsprekend kun je daarbij niet voorbij gaan aan de politieke gevoeligheden. Soms moet je een project eerder aanpakken, gewoon omdat iemand van de bovenste verdieping wil dat het wordt gedaan.
3. Stel kosten en doelen vast. Nu je de risico's hebt geïdentificeerd en de potentiële schade die door elk gat kan worden toegebracht, kun je gaan bepalen hoeveel het kost om elk gat te dichten. Als de prijs van de oplossing hoger is dan de potentiële schade, dan is het misschien geen project om je al te veel zorgen over te maken. Je moet daar realistisch in zijn. Over het algemeen heb je meerdere doelen en projecten op stapel staan (en projecten die al onderweg zijn) dan je af kunt maken in een bepaalde periode. Minder belangrijke projecten mogen dus in de wacht.
Het is belangrijk om elk project te verbinden aan het veiligheidsrisico dat het moet verhelpen, en om daar dan een aantal verwachtingen aan te verbinden. Er is weinig zo beschamend dan veel geld uit te geven om een bepaalde dreiging weg te nemen, om diezelfde dreiging de volgende dag werkelijkheid te zien worden. Neem dat maar van me aan.
