Nieuws

Een aanzet tot beveiligingsbeleid

2x Aanbevolen

Gepubliceerd:19-06-2009 om 03:30 Auteur:Jennifer Bayuk

De tijd en energie die zo aan het vormen van consensus over de doelstellingen wordt gespendeerd, betaalt zich uit in de kracht waarmee het beleid vervolgens wordt vormgegeven Goede vragen waarmee de opvattingen van managers over beveiliging kunnen worden achterhaald zijn bijvoorbeeld:
● Hoe kunnen de verschillende soorten informatie waarmee wordt gewerkt worden onderscheiden?
● Op welke typen informatie vertrouw je als er belangrijke beslissingen moeten worden genomen?
● Zijn er typen informatie die een groter veiligheidsrisico met zich meebrengen dan andere?
Op basis van dit soort vragen kan een classificatiesysteem voor de data in het bedrijf worden ontwikkeld, bijvoorbeeld op basis van een onderscheid tussen klanteninformatie, financiële informatie, marketinginformatie, enzovoort. Aan iedere informatieklasse kunnen dan specifieke procedures worden gekoppeld op het niveau van de bedrijfsvoering.
Uiteraard zal een doorgewinterde beveiligingsexpert in staat zijn advies te geven over de manier waarop de opvattingen van het management in een alomvattende bedrijfsstrategie gevangen kunnen worden. Hoe dan ook, zodra de expert volledig op de hoogte is van de manier waarop de bedrijfsleiding erover denkt, moet het mogelijk zijn een beveiligingsstructuur te bedenken die daar mee in lijn is. Dit framework moet de basis vormen van het beveiligingsprogramma, en daarmee richtinggevend zijn voor de contouren van het beveiligingsbeleid. Als basis wordt daarbij vaak gebruik gemaakt van standaarden die in de beveiligingsindustrie worden ontwikkeld. Voorbeelden hiervan zijn de Standard of Good Practice van het Security Forum (www.securityforum.org), de Security Management serie van de International Standards Organization (27001, 27002, 27005, www.iso.org), de Control Objectives for Information Technology (CoBIT, www.isaca.org) van de Information Systems Audit en de Control Association.
Het gebruik van dergelijke standaarden heeft als voordeel dat het beleid dat erop wordt gebaseerd niet alleen door het bedrijfsmanagement wordt geaccepteerd, maar ook door externe partijen, zoals accountants en andere spelers die te maken kunnen krijgen met het beveiligingsprogramma. Daar staat echter tegenover dat deze documenten generiek van aard zijn, en niet zullen aansluiten bij sommige specifieke wensen van een bedrijf. Ze zullen dus moeten worden gecombineerd met input van de bedrijfsleiding, wil er een werkbaar beleid uit voortkomen. Het is overigens ook niet redelijk te verwachten dat een managementteam de manier waarop de bedrijfsorganisatie is ingericht zal aanpassen om volledig op één lijn te kunnen zitten met een algemene beveiligingsstandaard. Het zal eerder zo zijn dat er waardevolle adviezen op het gebied van beveiligingsmanagement worden gefilterd uit zo’n standaarddocument, om vervolgens te analyseren of het mogelijk is ze toe te passen binnen de structuur van de betreffende organisatie. Daarbij is het van belang dat het geïnitieerde beveiligingsbeleid goed aansluit bij de actuele gang van zaken in een bedrijf. Als dat niet gebeurt, loop je het risico dat het beleid niet aansluit bij de bedrijfsorganisatie op het moment dat het beleid daadwerkelijk wordt geïmplementeerd.
Het is beter beleid te baseren op een beperkte hoeveelheid mandaten waar iedereen het over eens is en waarmee meteen kan worden gewerkt, dan met een alomvattend beleidsplan te komen waar maar weinig mensen in de organisatie echt mee aan de slag kunnen. Door op kleinere schaal te beginnen kan het beveiligingsprogramma direct worden opgestart om uitvoering aan een deel van het beleid te geven, terwijl ondertussen verder kan worden onderhandeld over de onderdelen waar nog controverse over bestaat.