Van IT Security naar Risk Management

Elke organisatie worstelt met het implementeren van vele baselines. Het verleden heeft aangetoond dat het implementeren van letterlijk honderden baselines een vrijwel onbegonnen zaak is. Met als uiteindelijk resultaat dat niet de veiligheid toenam maar enkel de dreigingen groter werden. Een ander gevolg was de ervaring van de eindgebruiker welke beveiliging enkel nog maar als zeer belemmerend ervaart. Anderzijds vraagt beveiliging constante aandacht immers mechanismen devalueren in de tijd en daarnaast maken mensen nou eenmaal fouten.

Een pragmatische oplossing voor dit probleem is, dat we losraken van het denken in baselines en dat we weer daadwerkelijk gaan kijken naar de werkelijke risico’s. Tenslotte schrijft iedere methode voor dat alleen die risico’s afgedekt moeten worden met maatregelen, als dit vanuit de bedrijfsvoering geredeneerd redelijk is (zo ook NEN/ISO 27001).

Om hier invulling aan te kunnen geven zal een iteratief proces rond risico beheersing ingericht moeten worden. Een iteratief proces conform de plan-do-check-act cyclus. Een proces op zowel strategisch, tactisch als op operationeel niveau, waarbij de stappen:

  • Inventarisatie van mogelijke dreigingen en risico’s.
  • Mitigatie, risico’s accepteren dan wel nemen van maatregelen.
  • Meetbaar maken van genomen maatregelen.
  • Monitoring van de geïmplementeerbare meetbare maatregelen.

Rapporteer de bevindingen van elke stap aan het management.

image

Vele organisaties voeren de eerste twee stappen nog wel uit maar besteden weinig tot geen tijd aan de vervolgstappen, het meetbaar maken en de uitkomsten ook daadwerkelijk monitoren.

Advertenties

Over Ramses Sloeserwij

Visionairy on Security ● Cybercrime ● Cyberwar ● Architecture ● Identity & Access Management ● Compliance ● Risk Management ● Governance ● Mobile Security
Dit bericht werd geplaatst in Security en getagged met , , , . Maak dit favoriet permalink.

Geef een reactie

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit / Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit / Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit / Bijwerken )

Google+ photo

Je reageert onder je Google+ account. Log uit / Bijwerken )

Verbinden met %s