Strategie

Waarom???

Waarom zou je aandacht willen besteden aan informatiebeveiliging?

#strategie

A person standing in front of a group of question marks Photo by Buddha Elemental 3D on Unsplash

In mijn vorige blog (lees hem hier) gaf ik een kleine inleiding over wat informatiebeveiliging inhoudt inclusief een aantal voorbeelden. Vandaag duik ik dieper in de vraag waarom het belangrijk is om informatie te beveiligen. Daarvoor moeten we een kleine stap terugdoen: waarom is informatie zo belangrijk dat we het moeten beveiligen?

Informatie is kennis of zijn betekenisvolle gegevens die je helpen iets te begrijpen, te beslissen of te doen. Dat kan dus informatie zijn die je nodig hebt om je dienst of product te kunnen leveren. Voorbeelden zijn kledingontwerpen voor ontwerpers en klant- en voorraadinformatie van een webshop.

Informatie kan ook bestaan uit gegevens die je indirect nodig hebt voor je organisatie. Denk aan persoonsgegevens van je personeel, beschrijvingen van processen, procedures of handleidingen binnen je organisatie.

Daarnaast kan informatie ook sturingsinformatie zijn, zoals de missie en visie van je bedrijf of informatie van kwaliteitscontroles.

Omdat informatie tegenwoordig zo belangrijk is moeten we dat beschermen. Geen informatie, geen bedrijf. Maar waar moeten we dat tegen beschermen? Het risico dat er iets gebeurt met informatie en daarmee bedrijfsprocessen en dus je bedrijf schaadt. We hebben allemaal wel een beeld bij wat een risico is. In beveiligingstermen is dat helemaal plat geslagen: risico bestaat uit de kans dat iets kan gebeuren, en de impact (gevolg) dat het heeft. En beide kunnen erg specifiek zijn voor een sector, regio, bedrijf of proces.

Voorbeelden

Tijd voor een aantal voorbeelden van kans en impact:

  • Als je onderaannemer bent van defensie is de kans groter dat je te maken krijgt met spionage of infiltratie. De impact voor defensie en daarmee Nederland kan heel groot zijn. En als er iets gebeurt, kun je je voorstellen dat dat geen goede naam oplevert voor jouw bedrijf.
  • Als je pand aan een rivier of zee ligt is de kans dat je te maken krijgt met een overstroming groter dan op de Veluwe. De impact hangt sterk af van je business: zijn al je machines verzopen? Groot. Kunnen al je mensen thuiswerken? Klein.
  • Als je een succesvol bedrijf hebt in het ontwerpen van kleding, is de kans groter dat je te maken krijgt met diefstal van je ontwerpbestanden. Concurrenten zouden graag de nieuwe voorjaarscollectie willen inzien voor deze uitkomt en ‘freelance’ hackersgroeperingen kunnen daarvoor zorgen. Maar ook een foutje van een medewerker die de bestanden per ongeluk ergens publiek geupload heeft zou voor het lekken kunnen zorgen. De impact kan zijn dat een andere ontwerper de ontwerpen eerder op de markt brengt, waardoor je opeens de ‘copycat’ lijkt. Dat kan je marktaandeel kosten en reputatieschade opleveren.
  • Als je een detacheringsbureau hebt en een inkoopproces hebt dat veel facturen aan ZZP-ers betaald, is de kans groter dat een van je medewerkers een nep-factuur betaald als je dat proces niet goed ingericht hebt. De impact kan meevallen, aangezien je omzet waarschijnlijk verdeeld is over meerdere ZZP-ers. Een factuur van twee ton zou wel opvallen tussen die facturen van een paar duizend euro. Die wordt dus niet betaald. Het is pas een probleem als die nep-factuur van een paar duizend euro maandelijks wordt betaald omdat niemand het opmerkt.

Risico’s

Om risico’s gemakkelijker te vergelijken (en dus te weten waar je grootste risico’s liggen) worden de kans en impact gescoord op een schaal van 1 tot 3 (of een andere schaal, net wat je fijner vindt) en vervolgens vermenigvuldigd: risico = kans x impact. Dat is een beetje nattevingerwerk. Maar veel ondernemers komen een heel eind op hun onderbuikgevoel omdat ze hun business goed kennen. Voor de technische risico’s kun je eventueel je IT-leverancier betrekken. Die kan die risico’s misschien iets beter inschatten. Of voor een nog beter beeld iemand met een achtergrond in informatiebeveiliging (zoals ik ;-) ).

Als je dit te ingewikkeld vindt, dan kun je in plaats van cijfers geven aan de ‘impact’ en ‘kans’ een gevoelsmatige waarde geven door de risico’s gewoon ‘hoog’, ‘midden’ en ‘laag’ te scoren.

Als je dat voor allerlei risico’s doet, ontstaat een lijstje met risico’s waarover je kunt discussiëren of ze acceptabel zijn of niet. En wat is dan acceptabel?

Risicobereidheid

Hierbij komt het volgende ingewikkelde concept kijken: de ‘risk appetite’. ofwel: hoeveel risico je als ondernemer bereid bent te nemen? En dat hangt (zeker in het MKB waar nogal eens de ondernemer ook de oprichter is) sterk samen met de persoon die aan het roer staat. Sommige mensen zijn van nature meer risicomijdend dan anderen. Maar ook factoren als hoe diep zijn je zakken, hoe snel wil je groeien en in welke markt je zit, spelen zeker mee.

Om terug te komen op de risicocalculatie: eigenlijk trek je een lijn. Tot hier vind ik het acceptabel en vanaf dat punt niet meer. Voor sommigen zal dat punt een ‘5’ zijn in de risico-analyse, voor anderen een ‘7’. Heb je voor jezelf bepaald dat je risk appetite een 5 is en je hebt risico’s van ‘7’? Werk aan de winkel!

Als je de versimpelde manier hebt gebruikt, en dus geen cijfers hebt gegeven, schat je in of je risk appetite ‘hoog’, ‘middel’ of ‘laag’ is en vergelijk je je risico score’s daarmee.

Het proces van risico-analyse is dus niet zo ingewikkeld. Het is alleen wel even wat werk. Maar goed, dat is je boekhouding ook en die doe je toch ook?

In een volgende post laat ik zien hoe je op een eenvoudige manier maatregelen kiest om risico’s te beperken. Abonneer je hieronder om die niet te missen!

Klaar met lezen?

CISO Essentials helpt je je gedachten te vertalen naar een concrete aanpak — zonder dure tools of een fulltime CISO.

Intake aanvragen
Alle artikelen