SRM

Security Risk Management, kortweg SRM, is een verdieping op de “Plan-Do-Check-Act” procesbeschrijving in ISO 27001, de breed gedragen Informatie Security Management System standaard uit 2005. Het SRM schema laat zien welke 10 stappen idealiter gezet moeten worden om de beveiligingsrisico’s in een netwerk efficiënt en adequaat te lijf te gaan.

SRM is een doorlopend proces en wordt dus visueel altijd als een cirkel aangeduid. De afronding van het proces leidt direct tot mogelijke aanpassingen van het beleid. Het SRM proces is onderverdeeld in 4 kwadranten.

Security Risk Management
SRM Cirkel

1e kwadrant: Systemen
Het 1e kwadrant in SRM is het belangrijkst en omhelst het opstellen van een beleid (policy) dat beschrijft hoe binnen de organisatie met netwerkbeveiliging omgegaan wordt. Dit beleid vormt de basis voor beslissingen die later genomen moeten worden, waar bij onduidelijkheid of conflicten op teruggevallen kan worden. Het is van groot belang dat het beleid gedragen wordt door een zo hoog mogelijke functionaris, bijvoorbeeld de CIO. Deze moet de essentie van het beleid kennen, om in geval van conflicten een afweging van belangen te kunnen maken en tevens de verantwoordelijkheid  te kunnen nemen voor het doorvoeren van uitzonderingen of wijzigingen op het beleid.

Na het opstellen van het beleid worden alle onderdelen (assets) van het netwerk in kaart gebracht. In feite zou gezegd kunnen worden dat in het kader van netwerkbeveiliging elk systeem dat aan het netwerk wordt aangesloten, bekend moet zijn. Want, als je niet weet wat je hebt: hoe kun je het dan beveiligen?

Als derde stap in dit kwadrant wordt aan elke asset of groep assets een prioriteit toegekend. De toegekende prioriteit bepaalt naar welke (groep) assets de eerste aandacht gaat in geval van of ter voorkoming van calamiteiten.

Deze eerste drie stappen worden in de praktijk maar al te vaak overgeslagen. Met als mogelijke gevolgen vertraging en onduidelijkheid in de aanpak van security binnen een organisatie en, in geval van calamiteiten, zelfs chaos in de bestrijding van deze calamiteiten. In plaats van een efficiënte aanpak, blijft de netwerkbeveiliging dan gericht op ad-hoc brandjes blussen en loopt men achter de feiten aan.

2e kwadrant: Risico’s
Het 2e kwadrant van Security Risk Management betreft het vinden van kwetsbaarheden op de assets binnen het netwerk en actuele bedreigingen die voor deze kwetsbaarheden bestaan. Dit kunnen bijvoorbeeld software defects, onnodige software of onbeveiligde accounts zijn. Op basis van de gevonden kwetsbaarheden en de ernst van de daarvoor bestaande bedreigingen wordt een risico analyse gemaakt. Hoe groot is het risico dat (een deel van) het netwerk wordt getroffen door malware of dat de organisatie slachtoffer wordt van bijvoorbeeld dataverlies?

De informatie, die opgedaan wordt door dit kwadrant te doorlopen, is goud waard. De kwetsbaarheden en bedreigingen helpen een organisatie om op zoek te gaan naar een doeltreffende oplossing. Dit houdt niet per definitie in dat er geld uitgegeven moet worden aan een product. Uit een gedegen risicobepaling kan blijken dat een eenvoudige configuratiewijziging of installatie van een patch al de nodige bescherming biedt. Dit inzicht kan organisaties dus veel geld besparen.
Door te concentreren op issues die een hoog risico opleveren kan bovendien veel efficiënter met de tijd omgegaan worden die aan netwerkbeveiliging wordt besteed. Dit kan tot een aanzienlijke kostenbesparing leiden.

3e kwadrant: Beveiliging
Pas als is vastgesteld welke risico’s de organisatie loopt en waar in het netwerk deze risico’s zich bevinden, moet op basis van de risico’s gekeken worden naar oplossingen die hier bescherming tegen bieden. Is het risico groot, dan is de behoefte aan een goede oplossing urgent. Het implementeren van een oplossing voor het beschermen van kleinere risico’s komt daarna.

Het tweede onderdeel van dit 3e kwadrant is het afdwingen van de gekozen oplossingen: controleer dat de gekozen oplossing ook daadwerkelijk op alle kwetsbare systemen is toegepast. Als tijd en geld besteed worden aan een passende oplossing, is het eeuwig zonde en bovendien niet te verkopen aan belanghebbenden dat de organisatie slachtoffer is geworden van een aanval omdat de oplossing niet overal op de juiste manier is geïmplementeerd.

4e kwadrant: Compliancy
Het  4e kwadrant dient twee doelen: enerzijds het inzichtelijk maken van de effecten van de gekozen beveiliging; anderzijds het aantonen van de beveiligingsstatus aan bijvoorbeeld een externe auditor, de directeur, of andere belanghebbenden. Op basis van kennis en ervaring die is opgedaan in alle 4 de kwadranten, kan vervolgens het beleid verder uitgediept of aangepast worden in de vorm van concrete toevoegingen of uitzonderingen op bestaande policies.

Is het zo dat een organisatie 100% veilig is wanneer gewerkt wordt volgens het Security Risk Management proces? Helaas, 100% veiligheid in een computernetwerk is, net als in het echte leven, een utopie. Door de netwerkbeveiliging in te richten aan de hand van SRM kan wel toegewerkt worden naar een situatie die zo optimaal mogelijk is. Waar een duidelijk beleid ligt als stevig fundament, een helder inzicht is in de systemen en kwetsbaarheden van het netwerk, de risico’s adequaat worden afgedekt door oplossingen die elkaar aanvullen en de effectiviteit van de genomen beslissingen op continue basis wordt gemonitord. Dat maakt netwerkbeveiliging optimaal, efficiënt en kostenbesparend

Downloads:
- Whitepaper Security Risk Management
- Whitepaper Risk & Compliancy (invulling van SRM)