De noodzaak voor risico-denken in informatiebeveiliging

De Baseline Informatiebeveiliging Overheid (BIO) biedt een praktische insteek voor actief risicomanagement. De BIO onderscheidt drie beveiligingsniveaus: BBN1, BBN2 en BBN3. Elk niveau kent een verplichte set aan beveiligingsmaatregelen. Instanties moeten hun informatie inventariseren en classificeren op deze drie niveaus.

Niveau BBN1 omvat openbare en niet-gevoelige informatie, BBN3 is vooral bedoeld voor zeer gevoelige informatie. BBN2 bevat de rest. De BIO geeft aan wie verantwoordelijk is voor het behalen en behouden van deze niveaus. Enerzijds een proceseigenaar, de lijnmanager die verantwoordelijk is voor de beveiliging van een proces of systeem. Anderzijds de secretaris of bestuurder die eindverantwoordelijk is voor het beveiligingsbeleid in de publieke organisatie en moet zorgen voor de uitvoering van organisatie brede vraagstukken rondom informatiebeveiliging.

Concreet geeft de BIO de volgende verantwoordelijkheden aan:

  1. BBN1: proceseigenaar verantwoordelijk
    Voor BBN1 is de proceseigenaar volledig verantwoordelijk voor het nemen van beslissingen. Slechts incidenteel, en op verzoek, informeert deze de Chief Security Officer (CISO) over de stand van zaken met betrekking tot zijn BBN1 informatiesystemen.
  2. BBN2: proceseigenaar legt voor aan CISO
    Voor BBN2 geldt dat de proceseigenaar het informatiesysteem voor ingebruikname (bij voorkeur in de ontwerp-/ontwikkelfase) ter consultatie voorlegt aan de CISO.
  3. BBN3: toestemming van secretaris/algemeen directeur
    Voor BBN3 geldt dat vooraf toestemming verleend moet worden door de secretaris/bestuurder voor het verwerken van bijzondere informatie. Voor het verlenen van toestemming is mandatering mogelijk naar bijvoorbeeld de CIO of CISO en bij het Rijk naar de BVA.

Continu proces

Informatiebeveiliging en de inschatting en herijking van risico’s is geen eenmalige activiteit, maar een continu proces gericht op het doorlopend beheersen van risico’s. De drijvende kracht achter een procesgerichte benadering van informatiebeveiliging is het Information Security Management System (ISMS), ook voorgeschreven in de BIO. Het ISMS helpt beleid, taken en verantwoordelijkheden, normenkaders en inzicht in risico’s bijeen te brengen. Daarbij wordt de huidige situatie van uw organisatie centraal gesteld en het ambitieniveau bepaald. Zo helpt het ISMS u om op korte en lange termijn de risico’s juist in te schatten en de informatieveiligheid te verhogen.

Fasering in de praktijk

Wij merken dat veel overheidsinstellingen op zoek zijn naar praktische handvatten om de BIO, en daarmee een procesgerichte benadering, te implementeren. De grootste uitdaging is waar te beginnen en hoe te komen tot een plan. Verder blijkt het lastig om interne bewustwording te creëren en leidt het uitvoeren van risicoanalyses, nulmetingen en GAP-analyses tot de nodige vragen.

Wij hebben de beste ervaringen met de volgende drie fasen aanpak:

Stap 1: Zet BIO op de bestuurlijke agenda
De implementatie begint bij aandacht vragen voor informatiebeveiliging op bestuurlijk niveau. Het creëren van bewustzijn van de waarde van risicomanagement voor informatiebeveiliging draagt bij aan het commitment voor een succesvolle implementatie van de BIO.

Stap 2: Creëer inzicht in uw huidige situatie
In hoeverre voldoet uw organisatie al aan de BIO? U kunt dit vaststellen met behulp van een inventarisatie, waarna een GAP-analyse kan worden uitgevoerd. Betrek hier, naast bestuurders, ook proceseigenaren bij. De uitkomsten van de inventarisatie vormen de basis voor uw verbeterkalender.

Stap 3: Risicomanagement in de praktijk
Voer risicoanalyses uit die als uitgangspunt dienen voor een risico-actieplan. In dit verbeterplan staat helder geformuleerd welke verbeteracties nodig zijn, wie verantwoordelijk is voor deze acties en binnen welk tijdspad de acties uitgevoerd moeten zijn.

Risicomanagement in de praktijk

Over ‘Risicomanagement in de praktijk’ delen wij graag een aantal adviezen gebaseerd op onze praktijkervaring:

1. Splitsen van de risicoanalyses
Voor het uitvoeren van de risicoanalyses adviseren wij om het totale BIO kader te splitsen. De baseline van beveiligingsmaatregelen is namelijk een mix van algemene of organisatorische beveiligingsmaatregelen en systeem specifieke maatregelen. De algemene maatregelen kunnen in éénmaal generiek worden behandeld. Bijvoorbeeld: als u de beveiliging van applicaties onderzoekt, wilt u niet iedere keer de vraag beantwoorden of uw organisatie over een CISO beschikt, maar wel hoe sterk de wachtwoordinstellingen zijn.

Maak daarom eerst een splitsing in de baseline en vervolgens in de risicoanalyses per bedrijfsproces en per applicatie:

  • Classificeer uw organisatie en plak daarop de algemene maatregelen die op organisatieniveau worden verwacht. Dit betreft maatregelen op het gebied van organisatie en personeel, maar ook algemene voorzieningen zoals werkplekbeveiliging. U kunt deze risicoanalyse één keer uitvoeren.
  • Doe dan een algemene classificatie per bedrijfsproces. Bij een procesinsteek kijkt u naar alle gegevens die in een proces worden verwerkt en classificeert u het proces. Er zullen zeker maatregelen in de baseline staan die u op procesniveau kunt toepassen.
  • Doe vervolgens een classificatie per systeem in dat proces en prioriteer op basis van risicoprofiel welke applicatie als eerste de baselinecheck ondergaat.

2. Uitvoering in workshops
Het uitvoeren van een risicoanalyse kan veel tijd kosten, waarbij de meeste tijd wordt verspild met doorlooptijd die niet effectief wordt benut. In de praktijk maken wij afspraken met de proceseigenaar en betrokken medewerkers, waarin in de vorm van een workshop de analyse wordt doorlopen en afgerond. Dus geen wekenlange exercitie, maar bijvoorbeeld een volledige analyse in één dag. Waarin u ook samen conclusies trekt en direct een risico-actieplan opstelt.

3. Uitwerken van risico-actieplannen
In de risicoanalyse classificeert u naar één van de drie niveaus en voert u een baselinecheck uit ten opzichte van de verplichte beveiligingsmaatregelen voor dat niveau. Het is goed om hier per proces en/of systeem het concept van een risico-actieplan toe te passen om de proportionaliteit van de maatregelen goed scherp te krijgen.

Dit plan bevat kort en bondig de volgende elementen als gevolg van de risicoanalyse:

  • De classificatie van de gegevens.
  • Samenvatting van de baselinecheck: welke maatregelen zijn wel of niet in voldoende mate aanwezig?
  • Het huidige restrisico. Welk risico loopt de organisatie op dit moment met een evaluatie? Is er verbetering nodig of wordt het restrisico geaccepteerd?
  • De geplande verbeteracties door de proceseigenaar inclusief tijdslijnen
  • Het geplande restrisico, als dit plan naar behoren wordt uitgevoerd.

De betrokken proceseigenaar tekent dit af voor akkoord en ter bevestiging van het risicoprofiel en verbeterplan.

4. Maak escalatiepaden
Risicomanagement gaat om inzicht en sturen op risico’s. Soms moeten er keuzes worden gemaakt over budget versus risico bijvoorbeeld. De BIO is heel duidelijk over verantwoordelijkheden. Voor BBN1 mag de proceseigenaar zelfstandig het beveiligingsniveau bepalen. Voor BBN2 moet de proceseigenaar de CISO consulteren. Voor BBN3 moet de secretaris / bestuurder worden betrokken. De CISO begeleidt, adviseert en bewaakt. Daarbij is het wel handig om na te denken over escalatiepaden. Als een proceseigenaar risico’s accepteert waarvan de CISO denkt dat dit niet OK is of als risico-actieplannen niet worden uitgevoerd, dan zal de CISO ergens moeten kunnen aankloppen. Wij maken hiervoor praktische spelregels, zodat van te voren duidelijk is hoe het spel wordt gespeeld en niemand zich aangesproken hoeft te voelen als iemand volgens de regels acteert.

5. Periodieke rapportage over de risico’s
Een belangrijk onderdeel in risicomanagement is om periodiek te rapporteren over risico’s, afgeronde en openstaande risico-actieplannen, de mate waarin risicoanalyses tijdig zijn uitgevoerd en overige relevante risico-vraagstukken. Deze periodieke rapportage informeert het hoger management over het risicoprofiel van de organisatie en over de mate waarin de organisatie voldoet aan gestelde eisen. Korte rapportages zijn goed, lange rapportages niet. De CISO kan hiermee duidelijk verantwoording afleggen over de taak.

6. Administratie op orde
Tot slot zijn er ook goede middelen voor procesondersteuning nodig. Office-pakketten en templates worden meestal gebruikt voor vastleggingen. Goede ISMS-software of Governance, Risk en Compliance (GRC)-software maken het geheel aan vastleggingen en de rapportage hierover beheersbaar. Dergelijke software kan u ook helpen om relevante activiteiten zoals testactiviteiten voor ENSIA of een risicoanalyse te agenderen voor een proceseigenaar in de organisatie.