Primaire business doelstellingen leidend bij bepalen maatregelen voor IT-beveiliging

Bij het inrichten van informatiebeveiliging is het van belang om prioriteiten te stellen. Met name de systemen en processen die cruciaal zijn in het primaire bedrijfsproces dienen goed beveiligd te zijn. Het is echter minstens zo belangrijk dat de maatregelen die worden getroffen om die systemen te beveiligen niet strijdig zijn met de businessdoelstellingen.

Een Business Impact Assessment (BIA) wordt gebruikt om van bedrijfsprocessen vast te stellen hoe kritisch deze processen zijn voor de primaire organisatiedoelstellingen (de BIA-score). Door, per bedrijfsproces, vast te stellen welke informatiesystemen nodig zijn voor het uitvoeren van deze processen, kan worden vastgesteld hoe kritisch deze informatiesystemen zijn voor het realiseren van deze doelstellingen. De BIA-score wordt, als het ware, overgedragen aan de ondersteunende informatiesystemen.

i-to-i helpt bedrijven en organisaties op het gebied van informatiebeveiliging en heeft veel ervaring met het uitvoeren van BIA’s. Consultant Pieter Jan Visser was vanuit i-to-i onder meer betrokken bij trajecten op een luchthaven, bij de centrale overheid, bij nutsbedrijven en bij een grote non-profitorganisatie.  Hij heeft in de loop der jaren een sterke visie ontwikkeld op de optimale manier om een BIA uit te voeren.

Visser: “Aan het begin van een traject wil ik allereerst een duidelijk beeld krijgen van het informatielandschap, zodat ik goed weet wat de organisatorische en IT-context is. Bij het uitvoeren van een BIA ga ik uit van de primaire business doelen. Als duidelijk is wat de primaire business doelen zijn, wordt bepaald welke processen belangrijk zijn voor het realiseren daarvan. De volgende stap is om te analyseren wat er nodig is om die processen goed te laten verlopen. Welke systemen en applicaties worden hiervoor gebruikt?  Op die manier zijn we in staat om de primaire business doelstellingen te vertalen naar eisen aan de IT-omgeving.”

Een essentiële stap binnen de BIA is het bepalen van de business attributen: eigenschappen en kenmerken die voor de organisatie van belang zijn bij het realiseren van de primaire business doelen.

Visser: “In de regel beperkt men zich daarbij tot de attributen beschikbaarheid, integriteit en vertrouwelijkheid (BIV). Op zich voor informatiebeveiliging relevante attributen, echter dat veronderstelt dat alleen die drie zaken belangrijk zijn. Dat is in onze ogen veel te beperkt. Ook andere business attributen kunnen zeer relevant zijn voor organisaties. Denk bijvoorbeeld aan transparantie, toegankelijkheid, gebruikersgemak, kostenefficiëntie of juridische compliance. In een BIA zou gekeken kunnen worden wat de business impact is als een bedrijfsproces niet beschikbaar is, maar ook wat de impact zou zijn als het proces niet transparant verloopt of een informatiesysteem niet gebruikersvriendelijk is.

PJV

In een risicoanalyse is de volgende stap om een dreigingen analyse uit te voeren. Met behulp van de BIV impact scores kunnen de inherente risico’s bepaald worden. Afhankelijk van eventueel al aanwezige maatregelen worden een restrisico bepaald. Als dit restrisico het ‘risk appetite’ van de organisatie te boven gaat, dan zullen er aanvullende maatregelen getroffen worden. Tot zover niets nieuws onder de zon.

Bij het bepalen van de te nemen maatregelen gaan nu ook de andere business attributen een rol spelen (transparantie, toegankelijkheid, kostenefficiëntie, enz.).

Voor elke mogelijke mitigerende maatregel controleer je of deze misschien effect heeft op een of meerder van de overige business attributen. Als dat zo is, dan zou het wel een ze kunnen zijn dat deze mitigerende maatregel het beveiligingsprobleem oplost maar op een ander vlak impact op de business heeft.

Visser: “Neem bijvoorbeeld een goede doelenorganisatie die sterk afhankelijk is van haar donateurs. Deze donateurs registreren zich op een donateurs-portal. Uit oogpunt van informatiebeveiliging kan het wenselijk zijn om op deze portal strenge authenticatie eisen en een stevig wachtwoordbeleid toe te passen. Vanuit IT-oogpunt een verstandige oplossing. Als hiermee echter het gebruikersgemak van de donateur in het geding komt, loop je het risico dat potentiële donateurs zich niet aanmelden en komt uiteindelijk het voortbestaan van het goede doel in gevaar: Operatie geslaagd, patiënt overleden… Je zal in dit geval dus moeten zoeken naar een oplossing die zowel veilig en eenvoudig in gebruik is.”

Spreekt deze business gedreven aanpak u aan, neemt u dan contact met ons op. We komen graag vertellen hoe deze aanpak ook in uw organisatie kan worden toegepast.

Deel dit bericht via:Tweet about this on TwitterShare on LinkedInEmail this to someoneShare on FacebookShare on Google+Pin on PinterestPrint this page

Door de site te te blijven gebruiken, gaat u akkoord met het gebruik van cookies. meer informatie

De cookie-instellingen op deze website zijn ingesteld op 'toestaan cookies "om u de beste surfervaring mogelijk. Als u doorgaat met deze website te gebruiken zonder het wijzigen van uw cookie-instellingen of u klikt op "Accepteren" hieronder dan bent u akkoord met deze instellingen.

Sluiten