Interne organisatie van informatiebeveiliging, vervolg

  1. 24 dec 2015
  2. 0 reacties
Dennis-Baaten

Vandaag sta ik stil bij de overige onderwerpen uit hoofdstuk 6.1 van de ISO 27002:2013 die vorige week niet aan bod kwamen.

Contact met overheidsinstanties

Deze maatregel is bedoeld om te borgen dat organisaties procedures hebben die aangeven wanneer er door wie contact dient te worden gelegd met een specifieke overheidsinstantie. Zo zal iemand de politie moeten inschakelen wanneer een werknemer ‘door het lint’ gaat, of de brandweer moeten bellen wanneer de brandveiligheid in het geding is. In toenemende mate kunnen ook instanties aan het lijstje worden toevoegen aan wie verplicht gemeld moet worden vanuit wet- en regelgeving. Denk aan de Autoriteit Persoonsgegevens (tot einde jaar College Bescherming Persoonsgegevens) in het kader van de meldplicht datalekken die over een dikke week (op 1 januari 2016) van kracht gaat, of aan het Nationaal Cyber Security Centrum op het moment dat de Wet gegevensverwerking en meldplicht cybersecurity van kracht gaat.

Vaak kunnen dergelijke acties worden verankert in bestaande processen of procedures, zoals het incidentproces. Zorg in ieder geval dat de information security officer altijd wordt geïnformeerd en betrokken, zodat deze de nodige ondersteuning kan bieden en zelf ook weer de juiste personen kan informeren. Heel praktisch: zorg dat er te allen tijde correct contactgegevens beschikbaar zijn. Als je snel moet schakelen, wil je niet eerst nog zoeken naar namen en bijhorende telefoonnummers.

Contact met speciale belangengroepen

Als je informatiebeveiliging serieus neemt, dan zorg je ervoor dat je op de hoogte blijft van de laatste ontwikkelingen. Dat is de gedachte achter deze maatregel. Enerzijds gaat het dan om ontwikkelingen met betrekking tot producten en diensten die door de eigen organisatie worden gebruikt, en anderzijds gaat het ook over algemene ontwikkelingen en trends in informatiebeveiligingsland. Denk bijvoorbeeld aan informatie over kwetsbaarheden, bijhouden van het nieuws, monitoren van frauduleuze zaken, het toepassen van beveiligingsadviezen, en participeren in relevante kennisplatformen.

Overigens is dit niet uitsluitend een feestje van de information security officer. Ook van beheerders of engineers mag je verwachten dat ze bijvoorbeeld proactief op de hoogte blijven van de laatste patches van software die in de organisatie wordt gebruikt. Door samen op de hoogte te blijven, kan er tijdig worden geacteerd wanneer specifieke ontwikkelingen een risico vormen voor de organisatie.

Informatiebeveiliging in projectbeheer

Deze maatregel borgt de aandacht voor informatiebeveiliging gedurende het doorvoeren van veranderingen in het ICT landschap. Dit gebeurt bij de meeste organisaties als onderdeel van het wijzigingenproces en/of via projecten. Binnen deze context beschouw ik een project als een werkwijze die één of meer wijzigingen tot gevolg heeft. Het is dus belangrijk om te zorgen dat informatiebeveiliging een integraal onderdeel uitmaakt van het wijzigingenproces binnen je organisatie. Dan kun je namelijk in een vroeg stadium risico’s signaleren en hier de nodige beheersmaatregelen op selecteren.

In de meeste gevallen blijft het verstandig om de aandacht voor informatiebeveiliging in het wijzigingenproces af te dwingen. In (kleine) organisaties met een hoge professionaliteit kun je in sommige gevallen vertrouwen op het verantwoordelijkheidsgevoel van medewerkers, maar dit is vrij zeldzaam. Ik heb situaties ervaren waarbij er vanuit het wijzigingsproces werd ingezet op de verantwoordelijkheid bij de medewerkers, terwijl deze in de praktijk niet werd genomen. Dan loop je vanuit informatiebeveiliging continu achter de feiten aan, en kun je bijna niet anders dan blokkades opwerpen om het ontstaan van nieuwe risico’s te voorkomen. Dat is een situatie waarin je helemaal niet wil zitten. Het liefst wil je vroeg in het proces betrokken zijn, zodat je tijdig kunt bijsturen. Hier moet je het wijzigingenproces dus op inrichten, en goede tooling kan hierbij helpen. Bedenk hierbij dat het makkelijker is de teugels te laten vieren, dan om ze aan te halen. Begin dus streng en geef, indien nodig, meer ruimte.

Fijne dagen, en tot over vier weken!

Dennis Baaten is eigenaar van Baaten ICT Security en helpt organisaties op organisatorisch en technisch vlak met het opzetten en borgen van een goede informatiebeveiliging