Onlangs heb ik een cursus over ‘The Governance of Information Security – door Kevin Henry’ gevolgd met daarin een interessant onderdeel dat ik graag met jullie wil delen middels deze blog, namelijk het meten van en rapporteren over informatiebeveiliging. Want waarom is het belangrijk om dit te doen en hoe kun je dit dan het beste doen?
Zo richting het einde van het jaar zijn de budgetten voor komend jaar weer vastgesteld, ook voor informatiebeveiliging. Velen van jullie hebben waarschijnlijk weer goede argumenten op tafel moeten leggen, waarom je denkt nodig te hebben wat je hebt opgenomen in het informatiebeveiligingsbudget. Eén van de beste manieren om vast te stellen en te onderbouwen dat je een budget nodig hebt en waarom, is door middel van een goede rapportage met daarin statistieken die de waarde van een goede informatiebeveiliging aantonen.
Wat zijn statistieken en waarom hebben we ze nodig? Een statistiek is iets dat kan worden gemeten. Binnen organisaties worden hiervoor vaak Kritieke Prestatie-Indicatoren (KPI’s) gebruikt. KPI’s maken de voortgang van iets meetbaar en concreet. Dat hoeft niet altijd kwalitatief (resultaatgericht) te zijn, maar kan ook kwantitatief (procesmatig) zijn: iets dat kan worden onderbouwd, iets dat we kunnen vergelijken of kunnen gebruiken als ijkpunt voor toekomstige acties. En in het geval van informatiebeveiliging belangrijk: een bedrijfsproces of activiteit. Ofwel, voldoet het werk dat we doen al dan niet aan de gewenste doelstellingen? Als we geen manier hebben om te meten hoe goed (of slecht) we het doen, weten we ook niet of en wat we kunnen verbeteren. Informatiebeveiliging is een continu proces. Om de effectiviteit hiervan te borgen en tijdig in te kunnen spelen op potentiële nieuwe dreigingen en risico’s, is het dus belangrijk om regelmatig te monitoren en meten én hierover te rapporteren. KPI’s zijn indicatoren van de huidige staat en helpen de gemeente bij het implementeren van de Plan Do Check Act (PDCA)-cyclus, een continu en interactief proces. Je moet als gemeente immers constant verbeteren en deze verbeterstappen ook echt kunnen aantonen. Maar hoe stel je dergelijke KPI’s op?
Goede KPI’s stel je op volgens het SMART-principe. Dat betekent dat ze voldoen aan de volgende eisen:
Maar wat kun je dan zoal ‘meten’ om te ‘weten’? Enkele voorbeelden van zaken die je kunt meten zijn:
Daarnaast moet je ook onderdelen monitoren. Monitoren gebeurt continu en vaak geautomatiseerd. Hierbij is het wel belangrijk dat dit real time gebeurt, zodat je direct actie kunt ondernemen om escalatie en/of incidenten te voorkomen. Je wilt het niet maanden nadat het is gebeurd pas te weten komen. Een goed voorbeeld van waar dit niet goed ging is bij het Bravis Ziekenhuis in Roosendaal dat afgelopen week in het nieuws kwam. Een medewerker had honderden keren medische dossiers van bekenden ingekeken. Zaken die je kunt monitoren zijn onder andere: spam/virus meldingen, logging en uptime.
De uitkomsten van het meten en monitoren van bovenstaande zaken moeten vervolgens op regelmatige basis (bijv. maandelijks of elk kwartaal) worden gerapporteerd en besproken om te bepalen of de doelstellingen worden gehaald. Een aantal tips hierbij:
Als laatste wil ik nog ingaan op de communicatie. Je hebt de resultaten per KPI en bijhorende maatregelen inzichtelijk in een rapportage, maar zorg dat je ook nadenkt over de manier hoe je dit communiceert richting het management. Je kunt zaken nog zo mooi presenteren door middel van een mooi, kleurrijk dashboard waarop bijvoorbeeld meters en rode en groene lampjes te zien zijn. Of door grafieken die de vergelijking van maand tot maand laten zien. Echter, het probleem is dat deze ook verkeerd kunnen worden geïnterpreteerd. Meten is namelijk nog geen weten als je de context niet kent van een KPI.
Zonder context zeggen de ‘meetgegevens’ helemaal niks. Neem bijvoorbeeld de registratie van het aantal beveiligingsincidenten waar de gemeente mee te maken heeft gehad. Een toename van het aantal geregistreerde incidenten kan verschillende reacties opleveren, zoals: ‘We moeten de beveiligingsmaatregelen aanscherpen want het aantal incidenten neemt toe’. Maar het kan ook zijn dat we een beter beeld hebben van het aantal incidenten en datalekken doordat de signalering en registratie verbeterd zijn. Je ziet vaak dat wanneer hier intern veel aandacht aan besteed wordt (vanuit awareness) het aantal meldingen stijgt. Een reactie kan dan zijn: ‘Er vinden meer datalekken plaats’. Maar vaak is dit in de praktijk niet het geval. Datalekken die eerder onder de radar bleven weten collega’s nu beter te herkennen en ook hoe ze dit moeten melden. Zorg dus dat je in je rapportage een duidelijke toelichting van de context geeft en houd hierbij ook rekening met het kennisniveau van het management. Zeker in het geval van informatiebeveiliging is het belangrijk om te weten of ze de technologie begrijpen of niet. Ofwel, is een korte samenvatting voldoende of moet iemand meer achtergrondinformatie hebben om het te kunnen begrijpen?
Kortom: het monitoren, meten en rapporteren over informatiebeveiliging is essentieel voor het beheren van een goede informatiebeveiligingsfunctie. Ik hoop je met deze blog meer inzicht te hebben gegeven hierin. Heb je naar aanleiding van deze blog vragen of hulp nodig om binnen jouw gemeente verder te komen op dit vlak, neem dan gerust contact met ons op.
Om een in-house cursus in te plannen, neem contact met ons op!
Copyright © 2014 - 2021 IB&P B.V.
algemene voorwaarden - privacyverklaring.
responsible disclosure - sitemap