Een interessant artikel in het AD vandaag over de status van beveiliging bij onze overheid. Blijkbaar is eindelijk eens vastgesteld dat een goed werkende IT beveiliging begint met coördinatie, en dat juist dat stuk ontbreekt bij de overheid. Hear hear!
Medusoft is inmiddels al weer een aardige tijd bezig met het structureel verkondigen van het Security Risk Management proces. Dat is een schematische weergave van hoe idealiter de IT Security zou moeten zijn georganiseerd. Is niet door ons bedacht, maar een algemeen door de industrie geaccepteerde weergave.
SRM begint met het bepalen van beleid, en dat is direct het punt waarop op grote schaal de fout in wordt gegaan. Het security beleid is er namelijk heel vaak niet, is niet up-to-date of is het eigendom van mensen op een laag niveau van de organisatie. Dat laatste sluit overigens aan op een meer algemeen probleem dat laatst nog eens benadrukt werd door Neelie Kroes: namelijk het ontbreken van een "CIO" bij veel organisaties. Iemand die op het allerhoogste niveau de verantwoordelijkheid heeft voor het coördineren van de ICT, en als onderdeel daarvan dus ook de beveiliging.
Stap 1 is dus het bepalen van beleid. Dat beleid mag geschreven worden door een specialist, maar het bestaan ervan moet bekend zijn op het hoogste niveau, en de inhoud ervan moet gedragen worden op datzelfde niveau. Dat biedt namelijk voor het eerst de mogelijkheid aan de IT afdeling om de beveiliging langs bepaalde voorgedefinieerde lijnen in te richten. Uitzonderingen op het beleid kunnen dan ook via het hoogste niveau verlopen: daar wordt dan de verantwoordelijkheid gedragen als iemand vind dat een bepaald systeem bijvoorbeeld geen Anti-Virus software hoeft te hebben. Nu is het vaak zo dat die anti-virus software wordt verwijderd zonder dat iemand verantwoordelijk is voor de potentiele risico's die dat met zich meebrengt. Slechte zaak.
SRM gaat na stap 1 nog een stuk verder, en daar mag je me naar vragen, maar begin maar eens met stap 1. Succes!
Geen opmerkingen:
Een reactie posten