Risk & Compliancy

Het gestructureerd bepalen van risico’s en meten van compliancy zijn sleuteltaken in goed functionerende IT Security. Door deze taken structureel uit te voeren, kunnen kosten worden bespaard en tegelijkertijd het beveiligingsniveau worden verhoogd.

Het risico dat een organisatie op een bepaald gebied loopt, moet worden afgeleid uit een correlatie van verschillende informatiebronnen. Ten eerste moet duidelijk zijn welke en hoeveel systemen in het netwerk kwetsbaar zijn, en wat de waarde van die systemen voor de organisatie is: wat is de prioriteit? Daarnaast is nodig om duidelijk te hebben of er bedreigingen bestaan voor de kwetsbaarheid, wat de aard is van die bedreiging en wat de gevolgen ervan kunnen zijn. Met deze gecombineerde kennis kan een risicobepaling worden gemaakt, dat de basis is voor het besluit om al dan niet op korte termijn de kwetsbaarheid te beveiligen.

Wanneer een goed onderbouwde risicobepaling NIET wordt gemaakt, is het gevaar dat kwetsbaarheden onbekend blijven totdat ze misbruikt worden, of dat juist veel middelen worden gestoken in het oplossen van kwetsbaarheden die helemaal niet kritisch zijn. Daarnaast leidt een goede risicoanalyse onder andere tot kennis over het aantal kwetsbare systemen, wat nuttige informatie is indien extra technologie zou moeten worden aangeschaft.

Het meten van compliancy stelt een organisatie in staat om aan te tonen dat voldaan wordt aan het gedefinieerde beleid. Hoe dat beleid eruit ziet en welke doelen daarmee dus worden nagestreefd, is primair te bepalen door de organisatie zelf. Wel zijn in veel sectoren richtlijnen van toepassing die in min of meerdere mate voorschrijven hoe omgegaan moet worden met informatiebeveiliging, zoals NEN7510 in de zorg. Het is natuurlijk al belangrijk genoeg om intern aan te kunnen tonen dat voldaan wordt aan gemaakte afspraken, maar met het systeem dat daarvoor beschikbaar is, kan aan een externe auditor ook aangetoond worden wat de security status is.