richardk/iso27diy-corp
1
0
Fork 0
Code Issues Pull requests Projects Releases Packages Wiki Activity Actions
iso27diy-corp/Canvas Method/RM WP Betrekken lijn.md

7.5 KiB
Raw Permalink Blame History

Hoe betrek je de Lijn bij Risicomanagement

Doelgroep: middle management, m.n. IT en Compliance

Organisaties worstelen met eigenaarschap van informatieveiligheid. Vaak blijft het een zorg voor de bestuurder en de verantwoordelijkheid van de IT manager. - hoe vaak is informatievei onderwerp van gesprek en beoordeling bij andere managers dan IT?

Wetgeving en normenkaders als de NIS 2, de Cyberbeveiligingswet, de ISO 27001/NEN 7510, de IBP-FO, de NIS 2 en de AVG: Het managen van deze risico's is uiteindelijk een verantwoordelijkheid van de bestuurder.

Een van de meest bekende is het periodiek laten uitvoeren van een 'Pen-test', of penetratietest, door een gespecialiseerd bureau. Met technische middelen wordt getracht kwetsbaarheden te vinden in de technische infrastructuur van de organisatie. Het resultaat is een rapportage waarin de gevonden (technische) kwetsbaarheden benoemd worden, met een prioriteitsindicatie en een aanbeveling voor het verhelpen van de kwetsbaarheid in kwestie.

We kunnen ook audits laten uitvoeren op de organisatie van de IT functie. We kunnen daartoe interne auditors trainen, of externe auditors inhuren, en die laten onderzoeken in hoeverre er adequaat beleid voorhanden is, en of de dagelijkse praktijk strookt met het beleid. Dat gebeurt meestal door het onderzoeken van documentatie en het houden van interviews met bij de beleidsvorming en uitvoering betrokken medewerkers. Aan het eind is er een rapport waarin lacunes in beleid behandeld worden, en gevallen waarin de uitvoering van het werk niet overeenkomt met wat in het beleid beschreven is, en situaties waarin de controle op navolging van het beleid tekortschiet.

Een ander middel is de inzet van zogenaamde mystery guests: personen die zich voordoen als een ander, meestal een medewerker, klant of leverancier, en zo proberen informatie los te krijgen, of toegang te krijgen tot fysieke locaties, om op deze manier zwakke plekken in de beveiliging te vinden. Ook hier volgt een rapportage met tekortkomingen en aanbevelingen.

Al deze instrumenten hebben één ding gemeen: ze zetten de organisatie, en haar medewerkers, in een passieve rol. Er komt een deskundige, met meer verstand van zaken dan wijzelf, de boel eens goed doorlichten. We onderwerpen ons daaraan, geven de gevraagde toegang, antwoorden als we gevraagd worden. Misschien zijn we een beetje zenuwachtig, de deskundige gaat tenslotte oordelen over onze prestaties, misschien halen we de scherpe randjes er een beetje af voor we antwoorden. Dan trekt de deskundige zich terug, en komt na enige tijd met zijn/haar conclusies. We voeren verbeteringen door en halen opgelucht adem: dat was 't dan weer, terug aan het werk, blij dat het ons vak niet is.

Risico's voor informatieveiligheid vormen een zorgpunt voor het bestuur van de organisatie

Voor de bestuurder van een organisatie zijn risico's . Niet voor niets is risicomanagement het kernproces van frameworks en normenkaders als de ISO 27001/NEN 7510, de IBP-FO, de NIS 2 en de AVG. Het procesmatig beheersen van risico's betekent dat je risico's identificeert, passende maatregelen implementeert, de effectiviteit daarvan bewaakt, en indien nodig verbeteringen aanbrengt: de bekende PDCA cyclus. In alle fasen is het belangrijk om grondig te werk te gaan, en dat geldt zeker voor de eerste fase: het identificeren van risico's. De grootste verrassingen in negatieve zin komen voort uit onbekende of onbelichte risico's.

Er zijn drie manieren waarop we ervoor kunnen zorgen dat ook de onbelichte risico's de juiste aandacht krijgen, die in gezamenlijkheid zorgen voor een Cultuur van Informatieveiligheid: (1) bevorder het bespreken en melden van risico's, (2) bevorder eigenaarschap van risico's en risicomanagement, en (3) zorg voor cyclisch risicomanagement, dan in de organisatie geborgd is.

Bevorder bespreken en melden van risico's

Het is belangrijk dat medewerkers weten dat het melden van risico's gewaardeerd wordt, en dat ze ook duidelijk terugkoppeling krijgen over wat er aan het risico gedaan wordt. Dat laatste liefst specifiek: een algemene dooddoener als 'bedankt voor het melden, we gaan er mee aan de slag' is onvoldoende. Maak duidelijk hoe het risico verder bekeken gaat worden, en op een later moment wat de eventuele maatregel wordt, en waarom daarvoor gekozen is. Het is ook belangrijk dat de medewerker hierin betrokken wordt; dit komt verder aan de orde onder Eigenaarschap.

We kunnen hiervoor dingen gebruiken

Om te zorgen dat risico's besproken en gemeld worden,

  • cultuur
  • communicatie
  • petrochemische industrie, bouw
  • zorg: LEAN

https://www.rie.nl https://business.gov.nl/staff/health-and-safety/drawing-up-a-risk-assessment-and-evaluation-rie-a-step-by-step-plan/

Bevorder eigenaarschap van risico's en risicomanagement

Zorg voor cyclisch risicomanagement

Oorzaak 1: 'Risicomanagement is een zaak van professionals' cultuur probleem

  • Scans (zoals een Pen-test) en Audits zijn traditionele instrumenten om risico's in kaart te brengen. Ze zijn echter kostbaar en hebben ook andere nadelen

  • De deskundige onderzoekt en observeert, en produceert een rapport met acties en aanbevelingen, meestal aangeboden aan de IT manager, die dan de schone taak krijgt om het op te pakken. Het zet de organisatie in een reactieve rol. Mgrs en medewerkers voelen zich geen eigenaar van het probleem.

  • Een externe beschouwer 'steekt de thermometer erin' en ziet de symptomen, maar de patient wordt niets gevraagd. (deze analogie kan beter)

  • dit maakt de organisatie en medewerkers reactief t.o.v. risicobeheersing (zaak van professionals)

  • krijgen geen verantwoordelijkheid

  • gevolgen:

    • herkennen eigen agency niet
    • kennis van mensen die 'in de processen zelf' zitten wordt niet meegenomen alleen de door de professionals gesignaleerde risico's -> grote blinde vlek

Naast het onbelicht blijven van risico's zien we in veel organisaties het probleem van 'not my problem' ook doordat managers risicomanagement op informatieveiligheid niet 'binnen hun scope' zien. Ze worden er niet op afgerekend, en krijgen er geen budget voor. Terwijl ze wel worden aangesproken op bijv. een veilige werksfeer, inzetbaarheid van medewerkers, en commerciele of financiele resultaten. Zo niet voor informatieveiligheid: De verantwoordelijkheid is immers geparkeerd bij een staffunctie. En waar het puur technische risico's betreft is dat logisch: de IT afdelinng heeft de kennis en de middelen. Maar we hebben juist gezien, dat risico's (en datalekken!) ontstaan uit processen. En die vallen wel degelijk binnen de management scope.

Oorzaak 2: project-denken (we hebben een AVG project gedaan ) Nieuwe regulering -> project -> maatregelen -> risico's gemanaged niet-cyclisch, nieuwe risico's blijven liggen tot het volgende project Maar: dag-dagelijkse realiteit van continue improvisatie. De resultaten van de pen test en de audits vinden kwetsbaarheden in de techniek en de beschreven organisatiestructuur en -processen. Ze vinden afwijkingen van eerder beschreven procedures, waar ze niet worden uitgevoerd zoals beschreven, maar niet welke handelswijzen er op de werkvloer zijn ontstaan, doordat mensen moeten improviseren.

Oplossingen

  • zorg voor cyclisch
  • betrek de smedewerkers, bijv in workshop sessies waarin ze actief participeren in het herkennen van risico's en het zoeken naar maatregelen.
  • zorg voor de structuur waarin dat gebeurt
  • maak het gesprek over risico's en de (effectieve) behandeling ervan onderdeel van de management cyclus. (zie maicrosoft )

Uioteraard blijft d3 harde techniek voor de IT en securituy professionals, maar zet mensen in hun kracht.