De vier stappen van informatiebeveiliging
Om dergelijke vragen te beantwoorden en de impact van bedreigingen te minimaliseren is het essentieel dat een security officer de risico’s op tijd kan identificeren, analyseren en rapporteren. Dit vraagt enerzijds om het opstellen van helder beleid – wat mag wel en wat mag niet? Én anderzijds om operationele maatregelen – hoe zorgen we ervoor dat de regels ook worden nageleefd en dat de juiste maatregelen worden getroffen? Dat is geen eenmalige inspanning, want in het digitale tijdperk volgen nieuwe dreigingen, zoals gratis cloudoplossingen, elkaar in rap tempo op.
Dit vraagt om een duidelijk proces in de organisatie voor het beveiligen van informatie, waar de PDCA (Plan-Do-Check-Act) cyclus integraal deel van uitmaakt. Ik licht deze cyclus kort toe:
1. Plan – Stel op basis van risicoanalyses, wet- en regelgeving en normeringen beleid op. Bepaal waar uw IT landschap minimaal aan moet voldoen om als veilig beschouwd te kunnen worden
2. Do – Zet dit beleid uit door heldere afspraken te maken en duidelijke maatregelen te implementeren.
3. Check – Controleer met steekproeven en audits of de organisatie zich aan de gemaakte afspraken houdt en of de maatregelen effectief zijn.
4. Act – Los eventuele knelpunten op door bijvoorbeeld het beleid aan te passen, de regels aan te scherpen of extra administratieve of technische maatregelen te nemen.
Door deze vier stappen continu te doorlopen kan een security officer ervoor zorgen dat de organisatie een hoog beveiligingsniveau creëert op het gebied van identity- en accessmanagement, incidentmanagement, disaster recovery, changemanagement en het naleven van eigen beleid. Zo is hij in staat om een omgeving te creëren waarin de beschikbaarheid, vertrouwelijkheid en integriteit van informatie gewaarborgd blijft en waar op tijd actie wordt ondernomen als de beveiliging in het gedrang komt. Bijvoorbeeld door schaduw-IT direct te signaleren, onnodige user ID’s in beeld te brengen en ‘ongewone’ inlogpogingen vast te stellen.
Dit kost echter tijd. Het is tegenwoordig, in complexe omgevingen, niet meer mogelijk om dit continue proces handmatig uit te voeren. Dat kan alleen door dit proces te automatiseren door bijvoorbeeld gebruik te maken van Security Monitoring en Control tools. Hiermee kan de security officer grip krijgen op iedere stap in het proces. Daardoor blijft de organisatie ‘in control’. Hoe u uw informatiebeveiliging naar een hoger niveau kunt brengen met de Ctac Security Monitoring & Control tool, leg ik uit in mijn volgende blog.