Informatieveiligheid bij de Overheid

Auteur: Ivan Stuer

Cybercriminaliteit is in deze dagen. Daarvan moet iedereen zich inmiddels bewust zijn. Maar waarom zijn dan bijv. zo weinig sites reeds bestand tegen DDOS aanvallen? Wanneer weten mensen dat informatieveiligheid een must is? Meestal als het te laat is. Daarom bestaan er een aantal wetten en normen over: om mensen te helpen zich te realiseren dat bijv. privacy belangrijk is. Ook voor de overheid.

Zoals de auteur van dit boekje zegt, is het best doenbaar om een hele bibliotheek te vullen over het onderwerp. Zijn doel is om de veiligheidsconsulenten een paar handvatten te geven voor het opzetten van een ISMS (Integrated security management system).

Het boekje dateert van 2015, dus van voor de wijziging van de Europese privacywetgeving in de GDPR. Veiligheidsconsulenten worden daarin vervangen door Data Protection Officers, die nog veel meer specialistische kennis zullen moeten hebben.

Wat bleef er bij?

Het wetgevend kader van de privacy maakt van een aantal voorstellen van acties uit ISO 27001, en ISO 27002, waarop het gebaseerd is, een verplichting. Daarbij is nu meer de nadruk op de beveiliging van het geheel van de processen, in plaats van op de onderdelen. Ook wordt Business continuïteitsmanagement steeds belangrijker als een kapstok waaraan informatieveiligheid kan worden opgehangen binnen het ISMS. (Zie daarvoor ook de toekomstige versie van de Good Practice Guidelines van The Business Continuity Institute dat op dat onderwerp aan het voortborduren is.) Tevens lijkt het er op dat het te ontwikkelen ISMS moet streven naar een overkoepelend gebeuren van alle veiligheidsdisciplines.

Tevens is het niet slecht om over de muurtjes te kijken en eens te kijken wat andere normen/raamwerken als COSOS en COBIT te bieden hebben. Ook een goede algemene kennis van projectmanagement en andere managementdisciplines is aangeraden.

Naar het einde van het boekje richt de auteur zijn aandacht op de CLOUD en de diensten die daarbij kunnen dienen. Daarna geeft hij een stappenplan om een informatieveiligheidsbeleid uit te werken.

Hoewel er enkele termen gebruikt worden zoals ISMS, ITIL, en ander licht vakjargon, is het boekje geschikt voor niet-ICTers. Het boekje is daarmee als dusdanig verhelderend voor een veiligheidsconsulent-in-spe omdat het een aantal aandachtsgebieden raakt waarin hij/zij zich zal moeten verdiepen.

Guide To Effective Risk Management 3.0

Auteurs: Alex Sidorenko en Elena Demidenko

Dit boek over risk management is anders dan de andere boeken die ik al las over het onderwerp. Het is een e-book dat niet alleen werkt met tekst. De teksten, doorgaans een pagina per onderwerp als appetiser, worden afgewisseld met to do checklists, en vele lijsten met doorklikmogelijkheden naar video’s op youtube en URL’s met webpagina’s met verdere uitleg. Het is een handig boek vol tips van do’s en dont’s van taken die binnen risicomanagement thuishoren. Deze checklijsten vormen een handige takenlijst voor een CRO in een onderneming.

De opbouw gebeurt in 3 grote objectieven: 1) Drive risk culture; 2) Help integrate risk management into business; 3) Become a trusted advisor. Wat is me bijgebleven?

  • Drive risk culture: zorg dat je een geschikt framework hebt om aan risicomanagement te werken. Kennis van de regelgeving waaraan de onderneming moet voldoen is belangrijk. Daarbij kan ISO 31000 een handige norm zijn. Bovendien is het beheersen van geschikte risico analyse technieken een voordeel. Reeds van bij het begin van het boek wordt gesproken over Monte Carlo en scenario analyse. Zoals steeds is het betrekken van het top management een must. Alle klassiekers van risicomanagement komen aan bod. Maar er zijn ook handige tips zoals het feit dat je best risico’s per onderwerp bespreekt in de bestuursvergadering in plaats van risicomanagement een apart onderwerp te maken van deze meetings. Verder is een no-blame cultuur essentieel. Dat is ook logisch, want je moet nog samenwerken met anderen om de performantie van de organisatie te verbeteren. Een andere belangrijke psychologische tip is om risicomanagement verantwoordelijkheden te bepalen in de job descripties. Verder was het een eye-opener dat risicomanagement vooral een zaak is van change management voor de cultuur van de organisatie.
  • Help integrate risk management into business: het is belangrijk dat risicomanagement niet iets is dat er bij komt maar wat in het werk zelf in zit. Heel belangrijk is bijvoorbeeld dat het geïntegreerd is in het nemen van de verschillende soorten beslissingen. Een weloverwogen beslissing maakt immers steeds een afweging tussen de voordelen en nadelen (dus de impact) en de kansen dat deze zich voordoen. Daarom is het ook belangrijk dat de business en de CRO dezelfde taal spreken. En als het mis gaat moet de business op een eenvoudige manier kunnen escaleren.
  • Become a trusted advisor: ken de business, maar ken ook je risicomanagement technieken. Onderhoud je vaardigheden van scenario analyse, stress testen, Monte Carlo technieken, game theory, gedragspsychologie… zeer veel onderscheiden wetenschappelijke technieken kunnen van toepassing gemaakt worden. Die zorgen er mee voor, samen met een blik op de omgeving, dat je het management kunt verwittigen voor opkomende risico’s. Tot slot doe je het allemaal niet alleen. Je kan steunen op de hulp van mensen in de organisatie (risk champions) maar je kunt ook steunen op de kennis van collega’s in andere organisaties. Netwerken is dus de boodschap.

Het aantal topics is zeer omvangrijk, tevens met alle doorverwijzingen er in is het een zeer stevig boekwerk. Het is aangeraden om je tijd er voor te nemen en de video’s eveneens ter harte te nemen, als een andere vorm van leren. Door deze structuur hoeft het boek ook niet van voor naar achter gelezen te worden maar kan naargelang de noden van het moment op een bepaald punt aangevat worden.

Het boek is vrij verkrijgbaar op de website van RISK-ACADEMY:

https://www.risk-academy.ru/en/download/risk-management-book/

Risicobepaling met risicotypologie

Auteur: Manu Steens

De bepaling van de risico’s is een van de belangrijke stappen in Risicomanagement, om te komen tot een risicoregister met bijhorende actieplannen als tussenstap.

Daarbij is, volgens het subsidiariteitsprincipe de laagste in rang die zinvol de risico’s kan bepalen, de aangewezen persoon om de nodige risico’s op te lijsten. Dit geldt zowel voor risico’s op alle niveaus in de organisatie.

De eerste stap bestaat dus uit het bepalen van de doelgroep van de brainstorm voor de risico’s. Voor operationele risico’s kunnen dit proces- of projectverantwoordelijken zijn, maar tevens nieuwelingen die nog niet veel visie hebben op risico’s. Voor hen is het immers zo dat ze voortdurend in contact komen met onvoorziene zaken, en meewerken aan de risicoanalyse vijzelt hun awareness en alertheid op. Voor tactische en strategische risico’s kunnen dit directieraadsleden zijn. Ook de doelgroep van de risico’s moet bepaald worden. Voor de normale risico’s kunnen dit de leidinggevenden zijn, voor grote risico’s en strategische risico’s moet men rapporteren aan het topmanagement/beheerraad.

Wanneer men de doelgroepen voor het bepalen van de risico’s en de rapportering bepaald heeft, moet men de risico’s zelf gaan inventariseren. Dit kan men doen a.d.h.v. bijv. een risicotypologie. Daarbij bestaan meerdere mogelijkheden. Deze zijn steeds afhankelijk van de organisatie zelf, die dus goed gekend moet zijn door de personen die de gepaste risicotypologie kiezen / ontwerpen. Hieronder geven we een aantal voorbeelden van risicotypologieën (niet exhaustief).

Een eerste mogelijke opdeling is als volgt:

  • Financiële risico’s
  • Wettelijke vereisten
  • Wettelijke compliance
  • Imago
  • Specifiek voor de branche
  • Data integriteit en –betrouwbaarheid
  • Confidentialiteit van de data
  • Beveiliging van de eigen data
  • Disaster recovery en continuïteitsplanning
  • Operationele risico’s

Een tweede mogelijke opdeling is als volgt:

  • Externe risico’s
    • Natuur
    • Politiek / wet en regelgeving
    • Sociaal / maatschappelijk
    • Economie / markt , beurzen , …
  • Interne risico’s
    • Strategie
    • Juridische / financiële gevolgen rechtsvorm
    • Continuïteit
    • Kwaliteit
    • Fraude / Compliance …
    • Materiële risico’s (verlies beschadiging)
    • Veiligheid van mensen / middelen
    • Financiële risico’s
    • Kritische kennis
    • Capaciteit …

Een derde mogelijke opdeling is als volgt:

  • Operationele risico’s:
    • (Willem De Ridder, ‘Risicobeheersing met toegevoegde waarde’): “Het risico van verlies als gevolg van inadequate of falende processen, mensen en systemen of als gevolg van externe gebeurtenissen.”
  • Strategische risico’s:
    • (Lizanne Vroom, ‘Risicomanagement vanuit het Dynamisch Business Model’): “Het gevaar voor (kapitaal-)verlies en/of het voortbestaan van de organisatie als gevolg van veranderingen in de omgeving van de organisatie, het gebrek aan respons of een verkeerde respons op veranderingen in de omgeving van de organisatie, zakelijke nadelige beslissingen of een onjuiste implementatie van de gekozen strategie.”

Een handige manier om met deze risicotypologie te werken is om daarna te brainstormen met een SWOT-methode. Merk wel op dat het maken van deze SWOT wél een onderscheid maakt tussen interne zaken (sterktes en zwaktes) en externe zaken (opportuniteiten en bedreigingen), maar nog geen risicoanalyse is op zich. Het kan gebruikt worden om de risicostatements te formuleren a.d.h.v. elk item in de risicotypologie, ten overstaan van de operationele projecten, –  processen, – doelstellingen of strategische doelstellingen. Dus in feite om aan risico-identificatie te doen. De gebruikte risicotypologie kan daarvan tevens afhangen. Daarnaast is de SWOT-methode met haar confrontatiematrix geschikt om maatregelen te formuleren.

Een brainstormsessie houd je best met een groep van ongeveer 4 personen, o.l.v. een coach. Deze laatste moet de groep steeds uitdagen om de risicostatements deugdelijk te formuleren, en er tevens, volgens het principe van een Bow-Tie, er de oorzaken en gevolgen, oorzaken van oorzaken en gevolgen van gevolgen enz. te formuleren. Daarbij is de 5x ‘waarom’- en de 5x ‘wat dan’ vraagmethode van toepassing. Daarmee formuleren de deelnemers aan de brainstorm dan uiteindelijk de risicostatements in de vorm van ‘De organisatie / het proces / project … heeft probleem / opportuniteit … met als oorza(a)k(en) … en gevolg(en)…’.

Men kan daarbij kiezen om de oorzaken en gevolgen met het probleem uit te splitsen over meerdere risicostatements, of om de oorzaken te groeperen en de gevolgen te groeperen. Deze worden dan aangevochten met respectievelijk preventieve en reactieve maatregelen. De Bow-Tie methode is dan zeer geschikt om aan te geven of alle aangegeven oorzaken en gevolgen aangepakt worden met maatregelen.

Self-assessment BCM – tools

Als je wil weten hoever je staat met het doorvoeren van je BCM-werking, moet je een (self) assessment uitvoeren.

Daarvoor bestaan specialisten die zich laten inhuren, om een audit te doen en een duur rapport schrijven. Maar vaak heb je in tijden van crisis daar het geld niet voor. Dan moet je het zelf doen. Daarvoor heb je een tool nodig. Hierbij vind je een Nederlandstalige eenvoudige tool (en een Engelse vertaling) die je nog kan aanpassen aan je eigen noden.

 

Bescherming tegen extreme geweldpleging

Dit document reikt handvaten aan t.a.v. leidinggevenden en medewerkers van de eigen organisatie. Hierin staat op genomen welke maatregelen een organisatieonderdeel en individuele medewerkers kunnen nemen als er zich een extreme geweldpleging voordoet om de continuïteit van de dienstverlening maximaal te verzekeren. Dit kan opgenomen worden in de appendix van een BCP.