Pijlers van Informatiebeveiliging

Informatiebeveiliging kent naast de meer inhoudelijke driehoek van vertrouwelijkheid, integriteit en beschikbaarheid ook de volgende driedeling, waarbij elke zijn ‘eigen’ dynamiek kent.

IB-pijlers

  • Het functionele aspect, waarbij de organisatie moet voldoen aan wet- en regelgeving. Hierbinnen bestaan algemene en organisatie specifieke wet- en regelgeving. Dit aspect wordt meestal aangeduid met de benaming Compliancy.
  • Het formele aspect, het beleid ofwel de vastgestelde kaders, werkwijzen, methoden en technieken met betrekking tot de beschikbaarheid, integriteit en vertrouwelijkheid van de informatie dan wel informatievoorziening zoals dat is bekrachtigd door de organisatie. Aangeduid met het begrip Governance.
  • Het operationele aspect, ofwel letterlijk het antwoord op de vraag of het voldoende veilig is, met andere woorden een duidelijke afweging maken tussen risico accepteren dan wel mitigeren. Dit aspect wordt aangeduid als Risk Management.

In het verleden waren veel organisaties constant bezig om een zekere set aan maatregelen te implementeren en werkend te krijgen. De praktijk heeft wel aan getoond dat dit een mission impossible bleek te zijn. Immers het is eenvoudigweg lonzinnig om meer dan 400 maatregelen werkend te maken en te houden. Het effect is vaak zelfs dat per saldo de beveiliging niet toeneemt, terwijl de dreigingen wel groter worden. In de huidige tijd is hiervan duidelijk sprake.

Aansprakelijkheid is een steeds belangrijker begrip voor het management. 100% veiligheid bestaat niet en is het dus een kwestie van tijd dat afschermingsmaatregelen falen. De vraag zal dan minder zijn ‘hoe het mogelijk was’ maar zal meer zijn of er sprake was van nalatigheid en dus een vorm van verwijtbaarheid.

Een oplossing voor dit probleem is, dat we losraken van het denken in baselines en dat we weer daadwerkelijk gaan kijken naar de werkelijke risico’s. Anderzijds om sneller te kunnen inspelen op nieuwe kansen en / of behoeftes (zoals aangegeven

in de vorige sheet) dan wel antwoord te kunnen geven op bijzondere omstandigheden en / of veranderende dreigingen (Risk Appetite) is een meer risico bewuste organisatie een vereiste.

Advertenties

Over Ramses Sloeserwij

Visionairy on Security ● Cybercrime ● Architecture ● Identity & Access Management ● Compliance ● Risk Management ● Governance ● Mobile Security ● Technical Infrastructure
Dit bericht werd geplaatst in Risico Management, Security en getagged met , , , , , . Maak dit favoriet permalink.

Geef een reactie

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit / Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit / Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit / Bijwerken )

Google+ photo

Je reageert onder je Google+ account. Log uit / Bijwerken )

Verbinden met %s