Een digitaliserende wereld vraagt om een effectieve bescherming van informatie. In het huidige informatiebeveiliging- en privacylandschap is dit een terugkerend onderwerp van gesprek, want wanneer is de bescherming effectief? Hoe meet je dat? Vaak meten we wel dat we de juiste dingen doen (=compliance), maar niet of de gegevens effectief zijn beschermd. Terwijl juist dat laatste in de praktijk het belangrijkste is. Uiteindelijk doe je tenslotte die dingen om een datalek of informatiebeveiligingsincident te voorkomen.
VKA hanteert de volgende zeven ‘best practices’ om de effectiviteit van informatiebeveiligings- en privacybeleid te meten. Met een grote rol voor data.
1. Laat informatiebeveiliging & privacy (IB&P) samen optrekken
Informatiebeveiliging en privacy zijn onlosmakelijk met elkaar verbonden. Met de komst van de AVG zijn ook eisen gesteld aan informatiebeveiliging en informatiebeveiligingsnormenkaders stellen ook eisen aan privacy. Het is dus wat ons betreft logisch om deze samen te laten optrekken in het meten van effectiviteit. Ook zien we steeds vaker organisaties die IB&P in één afdeling hebben, dit bevordert de samenwerking en ook de uitwisseling van informatie.
2. Onderwerp van gesprek aan de directietafel
“Zonder MT krijg je niemand mee” zei iemand ooit tegen mij. Als IB&P niet een onderwerp is wat op directieniveau wordt besproken, kan je lang trekken, duwen, schreeuwen, maar er gebeurt niets. Directie en MT zijn een essentieel onderdeel van een effectief beleid. Uiteindelijk ligt de verantwoordelijkheid voor veilige processen bij de business. Nu organisaties meer datagedreven gaan werken, zien we de vraag bij directie en MT ontstaan of ook IB&P daar onderdeel van kan worden. Ons antwoord is: Ja, dat kan, zie hiervoor de punten hieronder. Tegelijkertijd vragen we de directie ook op welke punten zij gerapporteerd willen krijgen. En als daar het antwoord op ontbreekt, rapporteren we over de kans dat dingen fout gaan.
3. Meetbaar maken van processen
In het IB&P vakgebied ligt de focus op het maken en daarna uitvoeren van bepaalde processen om veiligheid te waarborgen, denk aan het verplicht uitvoeren van een DPIA, het invoeren van een wachtwoordbeleid of werken met vertrouwelijke gegevens. De gedachte is: Als het proces is ingevoerd én men voert het proces goed uit, dan zijn we veilig. De auditor kijkt immers ook op die manier naar het wel of niet kunnen behalen van een certificaat. Compliant zijn zegt echt niet dat je ook effectief bent in het voorkomen van datalekken of IB-incidenten, daarvoor is meer nodig. Je stuurt als organisatie op het volgen van processen, maar moet deze procesvolwassenheid ook meetbaar maken. Denk aan een zaaksysteem waarin te volgen is hoeveel en op welke processen DPIA’s zijn uitgevoerd of logging en monitoring waar te zien is hoe vaak iemand een wachtwoord heeft gewijzigd. Als vooraf is vastgesteld hoe en met welke baseline een proces meetbaar is gemaakt, dan kan er per proces bekeken worden waar nog aandacht of interventies nodig zijn.
4. Meten van bewustwording
Dan, de menselijke factor. Medewerkers zijn en blijven een plek waar datalekken en IB-incidenten door zullen ontstaan. ‘Human error’ wordt in risicoanalyses meegenomen. Daarom extra belangrijk om met bewustwording rondom IB&P bezig te zijn. Het probleem: Hoe bepaal je of deze campagnes, flyers, micro-learnings, en presentaties werken? Door te meten hoe bewust de medewerkers van je organisatie zijn en door te meten wat de kans is dat mensen door de omstandigheden waarin ze moeten werken, zoals stressvolle situaties of beperkte middelen om veilig te werken, en het (on)bewust maken van fouten.
5. Zicht op ongestructureerde data
Ongestructureerde data is een risicofactor voor zowel datalekken als informatiebeveiligingsincidenten. De stelregel is: hoe meer ongestructureerde data, hoe groter de kans dat er iets misgaat. Wat bedoelen we met ongestructureerde data: vertrouwelijke gegevens in e-mails, losse bestanden die heen- en weergestuurd worden (via Winzip, Google docs, WeTransfer), rondslingerende (vertrouwelijke) documenten. In onze ervaring zijn er meestal twee redenen waarom een organisatie te maken heeft met een grote hoeveelheid ongestructureerde data: 1) er is geen centraal opslagpunt of zaaksysteem 2) de centrale opslag, het zaaksysteem, of de veilige manier, werkt niet prettig, waardoor er ‘workarounds’ worden gevonden: Het is ‘gedoe’ om het goed te doen. Zicht krijgen in de mate waarin data ongestructureerd rondzwerven binnen de organisatie is dan ook van belang. Dat kan door gebruik te maken van logging en monitoring, het meetbaar maken van de hoeveelheid bijlagen, het geven van waarschuwingen bij adressen buiten de organisatie, het beter inrichten van het zaaksysteem en het gebruiken van de processen om te meten hoeveel er niet volgens een proces verloopt.
6. Zicht op data die allang niet meer aanwezig had moeten zijn binnen je organisatie
Ging het bij de vorige best practices nog om het beperken van de kans van een beveiligingsincident, bij deze best practice gaat het om het beperken van de impact ervan. Want een incident is al vervelend genoeg, maar is wordt extra vervelend als daarbij vertrouwelijke data op straat komt te liggen die allang verwijderd had kunnen worden. Het consequent bepalen van bewaartermijnen en zorgen dat de bewaartermijnen, al dan niet elektronisch, automatisch worden gerespecteerd helpt daarbij enorm. Dit principe heeft overigens een sterke samenhang met ‘zicht op ongestructureerde data’, want ga maar na: hoe zorg je dat alle vertrouwelijke info uit e-mails en lokale opslag op tijd wordt verwijderd? Juist dit laatste is bijvoorbeeld meetbaar te maken door steeksproefsgewijs in je eigen infrastructuur te zoeken naar vertrouwelijke gegevens die niet rond zouden moeten slingeren.
7. Interventies op specifieke onderwerpen
Nu we zicht hebben op processen, bewustwording en ongestructureerde data, kunnen we de verzamelde data gaan gebruiken. Dat doen we bijvoorbeeld door deze samen in een dashboard te laten zien en aan te geven waar nog het meeste verbetering mogelijk is. De data samengevoegd geeft een gesprek aan de directietafel meer richting omdat het nu gaat over interventies op specifieke onderwerpen in plaats van breed uitgezette campagnes. Daarnaast is het door gebruik te maken van data ook mogelijk om te meten hoe effectief de interventies zijn, of om te begrijpen (en te kunnen accepteren) wat de kwetsbaarheden van je organisatie zijn.
Dan zijn we weer terug bij onze beginvraag: hoe weet je of je IB&P-beleid effectief is? Ons antwoord: maak gebruik van data om de effectiviteit meetbaar te maken. Zo kan aan de directietafel het gesprek gaan over feiten.
Vind je dit interessant of wil je meer weten hoe je effectiviteit van IB&P kan meten? Neem dan contact op met Marlijn Mulder.