(function(d,s,i,r) { if (d.getElementById(i)){return;} var n=d.createElement(s),e=d.getElementsByTagName(s)[0]; n.id=i;n.src='//js.hs-analytics.net/analytics/'+(Math.ceil(new Date()/r)*r)+'/554273.js'; e.parentNode.insertBefore(n, e); })(document,"script","hs-analytics",300000);

ICT kwetsbaarheden: is uw organisatie volledig ‘’in control’’?

Het is de nachtmerrie van elke bestuurder. De voorpagina's van alle landelijke dagbladen halen wegens gegevensdiefstal of fraude. Het gelekte VWO examen Frans, gestolen op de scholengemeenschap Ibn Ghaldoun in Rotterdam, is hier een bekend voorbeeld van.

Digitale informatiebeveiliging

Informatiebeveiliging betreft allang niet meer enkel papieren informatie, zoals de staatsexamens. Digitale informatie is overal om ons heen. De NAW-gegevens van leerlingen op de middelbare school, de cijferlijsten en stageverslagen van studenten binnen de Elektronische Leeromgeving (ELO) van een hogeschool en ook de -nog niet gepubliceerde- rapporten binnen het onderzoeksdomein van een universiteit zijn potentieel interessant voor diefstal of fraude.

Naast gegevensverlies bestaat er ook nog de bedreiging dat systemen onbereikbaar worden door sabotage, waarbij hackers niet per definitie van buitenaf komen maar ook whiz kids onder de studenten kunnen zijn. Hoe gaat u om met deze risico's? Er is een grote kans dat uw onderwijsinstelling een informatiebeveiligingsbeleid heeft. Heeft uw ICT organisatie dit beleid vertaald naar concrete maatregelen? Durft uw ICT manager te zeggen "in control" te zijn?

Risicobeheersing: een tekortkoming binnen ITIL?

Het beheren van risico's binnen ICT Service Management is essentieel. Het meest toegepaste beheer framework binnen ITSM is ITIL. ITIL kent echter geen "risk management" proces. De binnen diverse andere processen genoemde gecoördineerde risk assessment werkzaamheden bevatten geen triggers en geen formeel gedefinieerde input en output. Triggers om over risico's na te denken zijn er natuurlijk genoeg. Door bijvoorbeeld de media-aandacht rondom de software bugs in OpenSSL ("heartbleed") en Bash ("Shellshock") zijn steeds meer mensen zich bewust van de beveiligingsrisico's binnen IT.

Cyber Security.jpg

Dagelijks worden er nieuwe kwetsbaarheden ofwel "vulnerabilities" in software en firmware ontdekt. De ICT afdeling is zich hier echt wel van bewust. Bij het gebrek aan een gedefinieerd proces neigen veel organisaties er echter naar om zich te focussen op tools voor het detecteren van risico’s, zoals vulnerability scanners. Tools alleen zijn helaas nooit een oplossing, anders zouden er niet zoveel voorbeelden van data breaches zijn.

Ontdek risico’s en bestrijd ze

Het detecteren van risico’s is een goed uitgangspunt voor een pragmatische start van risk management, mits er verder wordt gekeken dan de detectietool alleen. Tools die voorzien in vulnerability en compliance assessments (non-compliancy is ook een risico!) gaan als output meldingen geven. Maar…

  • Wie is eigenaar van de gevonden risico's?
  • Aan welke standaarden moeten systemen compliant zijn?
  • Welke risico's zijn acceptabel en welke moeten aangepakt worden?
  • Wie bepaalt de prioriteit en de timing van een eventuele herstelactie?
  • Hoe is de relatie met change management geregeld?
  • Wat is de juiste balans tussen security en beschikbaarheid?
  • Welke resources zijn er beschikbaar voor dit "werkbakje"?

Door de juiste tooling in te zetten als onderdeel van een procesmatige risk management aanpak, is er voor ICT controle te krijgen over de risico's binnen de infrastructuur.

Wilt u hier op een doeltreffende manier bij geholpen worden? Ik vertel u graag meer over onze unieke aanpak. Ik ben bereikbaar via onderstaand contactformulier.

 

Tom Peperkamp


Gerelateerde artikelen