Een kwestie van definitie

Door Robert Metsemakers 24 okt 2017

Organisatie van IB

Precies één jaar na de bloedige aanslag in mijn woonplaats Apeldoorn bezocht ik als echte risicomijder om die reden op Koninginnedag de Warsteiner-bierbrouwerij in Duitsland. De radio speelde juist 'Happiness is Just Around the Bend' toen mijn vriendin en ik het landgoed opreden en zo was het ook.

Metershoge, wit-geel-gouden vlaggen wapperden Min wind en zon. Het gebouw met de voor het bedrijfskritieke proces o zo belangrijke koperen ketels ('kroonjuwelen') wees fier de lucht in. Vlak daarnaast het hoekige bezoekerscentrum dat als een hypermoderne gebruikersschil om de brouwerij (als legacy systeem) heen was geplaatst. Ook de speciale wasstraat voor de vrachtwagens van het merk was goed zichtbaar. Er is namelijk slechts één Warsteiner-brouwerij op de wereld, dus alle transport vertrekt vanaf dit punt als centrale hub. Daar worden de vrachtwagens gewassen en indien nodig voorzien van nieuwe belettering wanneer het logo (ongeveer iedere eeuw) verandert. Vroeger ging dat vervoer met paard en wagen. En paarden staan er nog steeds in hoog aanzien, zoals blijkt uit sponsoring van wedstrijden en concoursen. De brouwerij waardeert de dieren nog steeds als werknemers en in ruil voor hun representatieve en sportieve arbeid wordt er goed voor ze gezorgd in ruime weilanden rondom de brouwerij. Deze weilanden zijn wel omheind; niet met schrik- of prikkeldraad maar met grote, houten witgelakte hekken. JR Ewing's ranch en landerijen uit de tachtigerjaren tv-serie Dallas. Men heeft op zich wel vertrouwen in het veiligheidsbewustzijn van de medewerkers, maar biedt vriendelijke hulp bij het naleven van de essentieële regels.

We checkten in bij het Warsteiner Gästehaus op het landgoed en brachten de weekendtas naar onze kamer, waar in de minibar reeds enkele gratis biertjes gekoeld stonden te wachten. De fabriek produceert alleen van maandag tot donderdag. Daarna wordt er gepoetst. Ook op vrijdag kun je met een elektrisch treintje door de fabriek rijden, terwijl er die dag dus niets gebeurt. Het gevoel van: na maandenlang plannen komt de directie eindelijk eens kijken op het SOC en net die middag is het zeer rustig, qua incidenten.

Na de rondleiding door de fabriek en proeverij (twee stuks) liepen we over het landgoed en vonden een restaurant op het bedrijfsterrein. Helaas voor mijn vriendin en mij was er een besloten feest aan de gang: een kersvers echtpaar vierde daar hun huwelijksfeest in een bierbrouwerij! Alle twee waren we aangenaam verrast door dit buitengewoon goede idee (zij het elk met een andere klemtoon). We verlieten het landgoed en kwamen in het aanliggende stadje terecht. Daar zagen we achtereenvolgens een Warsteiner Café, een Warsteiner Konditorei, een Warsteiner Apothek, een Warsteiner Zeitung en een Warsteiner Rathaus. Al snel werd duidelijk dat het niet ging om een totaal uit de hand gelopen sponsoring door de zo geliefde brouwer. Het waren allemaal verwijzingen naar de plaatsnaam Warstein, waar ook de brouwerij en haar bier naar waren vernoemd. Het bleek dus een kwestie van definitie: wat is Warstein?

Zo is het natuurlijk ook met security. Dat is ook overal, hoort overal bij, kan of moet overal aan worden toegevoegd. Zeker als je er als echte liefhebber naar kijkt: dan zie je overál toepassingsgebieden en mogelijkheden. Met name op plaatsen waar je collega's van andere afdelingen juist nog helemáál niet aan security hebben gedacht. Bij security speelt definitie en scopebepaling steeds een grote rol. Wie kent als securityprofessional niet het voorbeeld van de projectleider die oprecht denkt voldoende aandacht te hebben gegeven aan security in zijn project, door aan een dagelijkse backup van de ingevoerde gegevens te denken. Terwijl wij als security-experts meteen zien dat daarbij de integriteit en vertrouwelijkheid vergeten zijn. Of zoals ik ooit in een auditrapport mocht lezen: "dat de kwaliteitsaspecten integriteit en vertrouwelijkheid in het onderzochte aandachtsgebied en in de prioritering en implementatie van de requirements in dier voege onvoldoende aandacht hebben gekregen."

Wanneer in een organisatie geen gezamenlijke, gedeelde definitie en scope bestaat van wat 'security' voor die organisatie precies inhoudt, kunnen er twee groepen ontstaan. De ene groep (de business) denkt dat de andere teveel aan security doet en wil uitgeven; de andere groep (de security-afdeling) doet alsof de eerste groep te weinig aan security denkt en wil besteden.

Hoe kom je eenvoudig tot een werkbare (of betaalbare) definitie van security? Spreek als aanpak bijvoorbeeld af:

  • Dat in de security-paragraaf van de Project Start Architectuur, altijd aandacht moet worden gegeven aan beschikbaarheid, integriteit èn vertrouwelijkheid van de betrokken data.
  • Dat de vereiste niveaus voor deze B+I+V kunnen variëren van 1 t/m 3 en dat bij V=3 meer mitigerende maatregelen nodig zijn dan bij 1. Geef als handreiking een lijst met bijvoorbeeld de beheersmaatregelen uit de ISO 27002 (Code of Practice for Information Security) en geef aan welke maatregelen altijd nodig zijn (al bij niveau 1) en welke alleen of pas bij BIV- niveau 2 of 3.
  • Dat er een bruto risico te bepalen is voor elk van de aspecten B+I+V en dat de security-maatregelen die werkelijk worden geïmplementeerd, dit mitigeren tot een lager netto risico. Sommige maatregelen (vooral de preventieve) verlagen de kans van optreden, andere beperken de impact (als het toch gebeurt) van het risico (met name de detectie en response maatregelen). Veel interne discussie is te vermijden, door per beheersmaatregel eenmalig te besluiten of deze de kans, of juist de impact beperkt en dit in een extra kolom te vermelden.

Heel soms (bijvoorbeeld net na een groot security-incident met veel media-aandacht) zijn de security-budgetten voldoende groot om alle bedachte maatregelen uit te voeren. Dan kan het netto risico zelfs nul worden. Maar in de meeste gevallen geldt: 100% veiligheid bestaat wel, maar is onbetaalbaar. Wanneer er dus nog wel (netto) rest- risico’s zijn, worden die vastgelegd in een risico-analyse met een duidelijke motivatie waarom die restrisico’s qua kans èn impact aanvaardbaar zijn voor het verantwoordelijk management. Waarbij datzelfde management dan weloverwogen kan tekenen bij het kruisje.

Drs. Robert Metsemakers RA RE CISSP heeft een rijk arbeidsverleden bij Achmea en diens voorgangers in verschillende security en audit functies. Deze column is op persoonlijke titel geschreven. Robert is bereikbaar via metsemakers@live.com.