Onlangs heb ik een cursus over ‘The Governance of Information Security – door Kevin Henry’ gevolgd met daarin een interessant onderdeel dat ik graag met jullie wil delen middels deze blog, namelijk het meten van en rapporteren over informatiebeveiliging. Want waarom is het belangrijk om dit te doen en hoe kun je dit dan het beste doen?

Zo richting het einde van het jaar zijn de budgetten voor komend jaar weer vastgesteld, ook voor informatiebeveiliging. Velen van jullie hebben waarschijnlijk weer goede argumenten op tafel moeten leggen, waarom je denkt nodig te hebben wat je hebt opgenomen in het informatiebeveiligingsbudget. Eén van de beste manieren om vast te stellen en te onderbouwen dat je een budget nodig hebt en waarom, is door middel van een goede rapportage met daarin statistieken die de waarde van een goede informatiebeveiliging aantonen.

‘If you aren’t keeping score, you are just pretending’

Wat zijn statistieken en waarom hebben we ze nodig? Een statistiek is iets dat kan worden gemeten. Binnen organisaties worden hiervoor vaak Kritieke Prestatie-Indicatoren (KPI’s) gebruikt. KPI’s maken de voortgang van iets meetbaar en concreet. Dat hoeft niet altijd kwalitatief (resultaatgericht) te zijn, maar kan ook kwantitatief (procesmatig) zijn: iets dat kan worden onderbouwd, iets dat we kunnen vergelijken of kunnen gebruiken als ijkpunt voor toekomstige acties. En in het geval van informatiebeveiliging belangrijk: een bedrijfsproces of activiteit. Ofwel, voldoet het werk dat we doen al dan niet aan de gewenste doelstellingen? Als we geen manier hebben om te meten hoe goed (of slecht) we het doen, weten we ook niet of en wat we kunnen verbeteren. Informatiebeveiliging is een continu proces. Om de effectiviteit hiervan te borgen en tijdig in te kunnen spelen op potentiële nieuwe dreigingen en risico’s, is het dus belangrijk om regelmatig te monitoren en meten én hierover te rapporteren. KPI’s zijn indicatoren van de huidige staat en helpen de gemeente bij het implementeren van de Plan Do Check Act (PDCA)-cyclus, een continu en interactief proces. Je moet als gemeente immers constant verbeteren en deze verbeterstappen ook echt kunnen aantonen. Maar hoe stel je dergelijke KPI’s op?

SMART

Goede KPI’s stel je op volgens het SMART-principe. Dat betekent dat ze voldoen aan de volgende eisen:

• Specifiek: formuleer de KPI’s duidelijk en laat geen ruimte over voor interpretatie.
• Meetbaar: Stel een meetbare doelstelling op (vaak cijfermatig en observeerbaar) en zorg dat je over tools beschikt om de KPI te meten.
• Acceptabel: De KPI’s moeten acceptabel zijn voor de gemeente en in lijn zijn met de bedrijfsdoelstellingen en het beleid.
• Realistisch: Zorg dat de KPI’s realistisch en haalbaar zijn voor de gemeente.
• Tijdsgebonden: Wat is de start- en einddatum van het doel?

Maar wat kun je dan zoal ‘meten’ om te ‘weten’? Enkele voorbeelden van zaken die je kunt meten zijn:

• De beschikbaarheid (up-time) van systemen, bijvoorbeeld: systeem X dient voor alle gebruikers 99,9% van het jaar beschikbaar te zijn.  
• Het aantal beveiligingsincidenten waar de gemeente mee te maken heeft gehad.
• Gemiddelde oplostijd van beveiligingsincidenten; doorlooptijden van incidenten, vanaf melding tot aan afhandeling.

Daarnaast moet je ook onderdelen monitoren. Monitoren gebeurt continu en vaak geautomatiseerd. Hierbij is het wel belangrijk dat dit real time gebeurt, zodat je direct actie kunt ondernemen om escalatie en/of incidenten te voorkomen. Je wilt het niet maanden nadat het is gebeurd pas te weten komen. Een goed voorbeeld van waar dit niet goed ging is bij het Bravis Ziekenhuis in Roosendaal dat afgelopen week in het nieuws kwam. Een medewerker had honderden keren medische dossiers van bekenden ingekeken. Zaken die je kunt monitoren zijn onder andere: spam/virus meldingen, logging en uptime.

Rapporteren

De uitkomsten van het meten en monitoren van bovenstaande zaken moeten vervolgens op regelmatige basis (bijv. maandelijks of elk kwartaal) worden gerapporteerd en besproken om te bepalen of de doelstellingen worden gehaald. Een aantal tips hierbij:

• Zorg dat het een terugkerend item is op de agenda van het management waarbij de status wordt besproken. Waar staan we? Maken we vorderingen? En zo ja, in de juiste richting? Of zijn er verbeteringen/aanvullende maatregelen nodig?
• Maak actieplannen voor verbeteringen of extra maatregelen die nodig zijn om het doel te bereiken. Geef duidelijk aan wat je van het management verwacht en nodig hebt: waarop moeten zij actie ondernemen? Wat zijn de gevraagde beslissingen? Wat zijn de volgende stappen? Moet het management daadwerkelijk iets met deze informatie doen, of is de rapportage slechts informatief?
• Zorg dat deze actieplannen minimaal twee zaken bevatten. Allereerst de toegewezen middelen om het doel te bereiken, zoals budget en personeel. En ten tweede een (eind)datum. Het is belangrijk dat je in staat bent om te rapporteren op tijd, geld en/of kwaliteit. Het management wil uiteindelijk ook weten of het geld goed wordt besteed. En meer van het één betekent automatisch minder van tenminste één van de andere twee.
• Zorg voor een duidelijk format waarin je rapporteert. De rapportage moet herhaalbaar en consistent zijn. Zo is het belangrijk dat in de rapportage per KPI de stand van de vorige periode wordt opgenomen, de huidige waarde en een trendindicatie (is iets verslechterd, verbeterd of gelijk gebleven). Zo zijn de resultaten eenvoudig te vergelijken met die van vorige maand en vallen trends of afwijkingen sneller op.

Communiceren in context

Als laatste wil ik nog ingaan op de communicatie. Je hebt de resultaten per KPI en bijhorende maatregelen inzichtelijk in een rapportage, maar zorg dat je ook nadenkt over de manier hoe je dit communiceert richting het management. Je kunt zaken nog zo mooi presenteren door middel van een mooi, kleurrijk dashboard waarop bijvoorbeeld meters en rode en groene lampjes te zien zijn. Of door grafieken die de vergelijking van maand tot maand laten zien. Echter, het probleem is dat deze ook verkeerd kunnen worden geïnterpreteerd. Meten is namelijk nog geen weten als je de context niet kent van een KPI.

Zonder context zeggen de ‘meetgegevens’ helemaal niks. Neem bijvoorbeeld de registratie van het aantal beveiligingsincidenten waar de gemeente mee te maken heeft gehad. Een toename van het aantal geregistreerde incidenten kan verschillende reacties opleveren, zoals: ‘We moeten de beveiligingsmaatregelen aanscherpen want het aantal incidenten neemt toe’. Maar het kan ook zijn dat we een beter beeld hebben van het aantal incidenten en datalekken doordat de signalering en registratie verbeterd zijn. Je ziet vaak dat wanneer hier intern veel aandacht aan besteed wordt (vanuit awareness) het aantal meldingen stijgt. Een reactie kan dan zijn: ‘Er vinden meer datalekken plaats’. Maar vaak is dit in de praktijk niet het geval. Datalekken die eerder onder de radar bleven weten collega’s nu beter te herkennen en ook hoe ze dit moeten melden. Zorg dus dat je in je rapportage een duidelijke toelichting van de context geeft en houd hierbij ook rekening met het kennisniveau van het management. Zeker in het geval van informatiebeveiliging is het belangrijk om te weten of ze de technologie begrijpen of niet. Ofwel, is een korte samenvatting voldoende of moet iemand meer achtergrondinformatie hebben om het te kunnen begrijpen?

Meer informatie?

Kortom: het monitoren, meten en rapporteren over informatiebeveiliging is essentieel voor het beheren van een goede informatiebeveiligingsfunctie. Ik hoop je met deze blog meer inzicht te hebben gegeven hierin. Heb je naar aanleiding van deze blog vragen of hulp nodig om binnen jouw gemeente verder te komen op dit vlak, neem dan gerust contact met ons op.