KeizerT

Risk & Security = Continuity

Security op de managementtafel

Written By: Thimo Keizer - jan• 27•12

Gisteren hebben we afgesloten met de opmerking dat we niet uit kunnen sluiten dat we voldoende aandacht krijgen als we die onderwerpen kunnen raken waar het management van wakker ligt. Een mooie overweging voor vandaag.

Formeel gezien, zou het management natuurlijk wakker moeten liggen van de enterprise risks. Of, in gewoon Nederlands: de risico’s waardoor we omzet mislopen, waardoor we een stijging in kosten zien of waardoor ons imago een deuk op kan lopen.

Onze drietrapsraket: stap 1: risk management, stap 2: security management (gericht op preventie en detectie) en stap 3 business continuity (repressie en correctie) zou daar dan op gericht moeten zijn.

Uitdaging hierbij is dat we enterprise risks maar moeilijk direct kunnen beïnvloeden. Wij zijn immers de security-afdeling en moeten ons vooral niet bemoeien met de missie, visie, strategie en doelstellingen van de organisatie. Het management is daar verantwoordelijk voor en zal ons daarbij niet betrekken.

Daar kun je natuurlijk wakker van liggen. Maar dat is helemaal niet nodig. We moeten ons ook niet willen bemoeien met dat soort zaken. Wij moeten ons druk maken om onze bijdrage aan die missie, visie, strategie en doelstellingen. Hoewel we ons er dus niet mee moeten bemoeien, moeten we er niet onverschillig tegen over staan. Nee, sterker nog: wij moeten haarfijn weten wat ze zijn om onze aanpak van risk management, security management en business continuity management daar zo goed mogelijk bij aan te laten sluiten.

Als het in de praktijk voor alle organisaties en alle managers op deze manier zou werken, dan was het “verkopen” van security een stuk eenvoudiger. Maar wat het lastig maakt is het feit dat de belangen van de managers niet altijd overeen komen met de belangen van de organisatie.

Helemaal geen security issue maar veel meer een organisatorisch issue. Mensen komen naar hun werk, maar wat drijft hen en waarom komen ze eigenlijk? Misschien omdat ze inderdaad een zinvolle bijdrage willen leveren aan de organisatie, maar misschien ook omdat ze aan het eind van de maand toch gewoon een salaris nodig hebben.

Wat de persoonlijke doelstelling van de medewerkers ook is, we moeten ze zien te achterhalen als we beveiliging de aandacht willen geven die het nodig heeft.

Maar we kunnen natuurlijk niet alleen naar de ander blijven wijzen. We moeten ook goed in de spiegel kijken. We moeten dus niet negatief staan tegenover ontwikkelingen en we moeten niet bij voorbaat alles verbieden. Nee, we moeten realistisch zijn als we kijken naar de risico’s. Deze moeten we bezien in het licht van de missie, visie, strategie en doelstellingen.

Vervolgens moeten we proberen de operational risks te koppelen aan de enterprise risks (steeds met realiteitszin). Daarbij kunnen we het management onafhankelijk adviseren. Wij geven ze inzicht in de risico’s, de kans en de impact daarop, de kosten voor preventieve, detectieve, repressieve en/of correctieve maatregelen.

Beveiliging in de vorm van business cases waarbij de beveiligingsbusiness case onderdeel moet zijn van de grotere business case. Is dit dan de makkelijkste weg? Nee, waarschijnlijk niet. De makkelijkste weg zal zijn om separaat van alles te blijven opereren. Lekker in die ivoren toren blijven zitten. Maar dat is misschien een oplossing voor de korte termijn.

Willen we een oplossing voor de lange termijn dan moeten we deze overwegingen (en die van gisteren bijvoorbeeld) nog eens goed uitdenken. Dat is nu juist wat het zo leuk maakt.

In ieder geval heb je dit weekend een tweetal overwegingen om eens over na te denken. Mocht je een mening hebben, laat het me gerust weten. Ik ben benieuwd. Heb je zelf andere overwegingen waar je eens iets over wilt schrijven? Dan mag dat natuurlijk hier ook, geen probleem, ik hoor graag van je.

Posted in Geen categorie , , , , , , , , | No Comments »

Preventie, detectie, repressie en correctie

Written By: Thimo Keizer - jan• 26•12

Vandaag maar eens een bericht dat niet direct gekoppeld is aan een nieuwsbericht maar meer aan een overweging. Uiteraard benieuwd wat jullie er van vinden.

Het lijken zulke eenvoudige termen en de volgorde lijkt ook vrij logisch: preventie, detectie, repressie en correctie. Dat is waar het allemaal om draait als we het hebben over de drietrapsraket: risk, security, continuity.

Risk management, security management en business continuity management. Deze begrippen kunnen we aan elkaar koppelen en dan wordt het allemaal nog een stuk duidelijker.

Eerst moeten we bepalen welke risico’s we allemaal lopen. Daarvoor roepen we risk management in het leven. We kijken naar de enterprise risks en naar de operational risks en bepalen de dreigingen die we op ons af kunnen zien komen. Voor deze dreigingen bepalen we de kans en de impact en de hele basis is gelegd. Uiteraard moeten we hierbij nog wel rekening houden met de missie, visie en strategie van onze organisatie. Om die te bereiken bepalen we de doelstellingen voor de korte termijn. Risico’s die daar een negatieve invloed op kunnen hebben verdienen onze aandacht.

Nu we die dreigingen weten kunnen we bepalen wat onze risicomanagement strategie is. Welke risico’s willen we in behandeling nemen en welke risico’s accepteren we? Voor die risico’s die de aandacht verdienen gaan we verder met de stap security management.

In die zin is security management gericht op preventie. Het voorkomen van de risico’s en het voorkomen van incidenten. Maar zoals we weten, kunnen we niet alle incidenten voorkomen. In dat geval zullen we dus moeten zorgen dat we de incidenten detecteren. In dit opzicht dus onderdeel van security management.

Business continuity management kunnen we dan koppelen aan de repressie en de correctie. Met business continuity zorgen we ervoor dat we tijdens een incident gewoon door kunnen draaien. Maar als we het hebben over correctie dan komen we al snel uit bij disaster recovery. Oké, het incident heeft zich voorgedaan en op basis van de business continuity maatregelen hebben we met workarounds toch gewoon door kunnen werken.

Maar ja, die workarounds kunnen we niet langdurig in het leven houden. Ze zijn bijvoorbeeld te duur of niet efficient genoeg voor de dagelijkse gang van zaken. Daar komen dan de correctieve maatregelen om de hoek kijken. We moeten weer terug naar de business as usual. Als het goed is kunnen we met de BCP’s (business continuity plans) en de DRP’s (disaster recovery plans) aan de gang om de schade voor ons te beperken.

Hebben we een dergelijke cyclus eenmaal doorlopen dan begint het spel weer van vooraf aan. We gaan weer kijken naar de dreigingen en de kans en de impact daarvan. Misschien moeten we concluderen dat de kans en de impact toch hoger is dan we vooraf hadden ingeschat. Daar passen we de security maatregelen en de business continuity aanpak dan weer op aan.

Maar ook als we niet geconfronteerd worden met de uitbraak van een incident. Dan toch moeten we de cyclus continu doorlopen. Alleen treden dan onze BCP’s en DRP’s niet echt in werking. Wel kunnen we ze natuurlijk testen en reviewen. Blijkbaar zijn we niet geconfronteerd met een incident of blijkbaar hebben onze security maatregelen goed gewerkt. Wat het antwoord hierop is? Dat moeten we analyseren. Zijn we echt “in control” (onze maatregelen hebben gewerkt) of hebben we gewoon mazzel gehad en is dit incident onze deur voorbij gegaan?

Tot zover de overwegingen voor vandaag. We kunnen dus de koppeling leggen: stap 1: risk management, stap 2: security management (gericht op preventie en detectie) en stap 3 business continuity (repressie en correctie).

Kunnen we dit aan concrete voorbeelden koppelen waar het management wakker van ligt, dan sluit ik niet uit dat we aandacht krijgen van dat management. Maar goed, dat is een mooie overweging voor morgen.

Posted in Geen categorie , , , , , , , , | No Comments »
12345>>
Get Adobe Flash playerPlugin by wpburn.com wordpress themes