Zoals u wellicht uit de vakliteratuur heeft kunnen vernemen ligt er een duidelijke relatie tussen informatiebeveiliging en informatiemanagement. Maar waar moet de informatiemanager nu op sturen in dit verband?
Gelukkig mocht ik onlangs vanuit mijn lidmaatschap van de CTO-office van Capgemini de zeven business security trends voor 2013 opstellen, hetgeen ook de blauwdruk is geweest voor het Capgemini cyber security event op 18 juni 2013. Tijdens dit event hebben verschillende collega’s en vakgenoten in het cyber security domein één of meerdere verdiepingspresentaties gegeven over deze security trends.
Laten we even stil staan bij de business security trends, voor eenieder die het (interne) cyber security event heeft moeten missen. Het was die avond 32 graden dus ik kan mij voorstellen dat collega’s en vakgenoten die avond andere prioriteiten hadden.
1) Security is an Enabler: “Security has been perceived for many years as a disabler instead of an enabler. Today to do business on the Internet use the right mix of internal and external security services. Trust is the key to success. It is essential that you can trust other parties and that other parties can trust you. So your mindset should be to make it happen and then think what security and trust services you need to do business. The goal is not to create the perfect security but to do business at acceptable costs to secure your solution.”
Voor de informatiemanager betekent dit dat informatiebeveiliging als een vanzelfsprekend aspect wordt meegenomen met iedere verandering. Vertrouwen kweken tegen acceptabele risico’s met daarbij de gewenste meeropbrengsten. De kernboodschap is dus een hele positieve. Juist omdat we meer mogelijkheden hebben om te beveiligen kunnen we ook meer digitaliseren en de bedrijfsprocessen efficiënter maken.
2) Risk Appetite: “Still today a lot of managers and security professionals try to manage and minimize risk during the setup of new business initiatives. Be aware that minimizing risk will also minimize the opportunities most of the time. To say it differently: Opportunities Live in Risky Places. First spot en try to capture the opportunities. Then try to find out how to secure your opportunity without killing it. For example the Chinese sign for Risk is a combination of Chance and Danger. So don’t minimize risk but balance between opportunities and things that threaten your profits.”
De kern van “Risk Appetite” [1] is dat de kansen moeten worden afgewogen tegen de risico’s. Hiermee wordt informatiebeveiliging ineens een onderwerp voor het business management. De informatiemanager is tezamen met een aantal deskundigen adviserend, het business management hakt echter de knopen door. Geen ambitie betekent geen risico’s. Dus wil je als business management écht iets bereiken, dan kan dat niet anders dan door de risico’s op te zoeken en zorgvuldig te managen.
3) Privacy by Design: “Doing business means knowing your customer. Customers and citizens are only willing to a certain extent to give personal information to you and your business community. This means that you have to think ahead about the privacy concerns of your customers and employees and address these concerns upfront. Addressing privacy concerns upfront is much cheaper than addressing it later on and gives you a competitive advantage as well.”
Met dank aan klokkenluider Edward Snowden [2] staat de verwerking van onze persoonsgegevens en de vertrouwelijkheid hiervan weer bovenaan de agenda. Privacy by Design betekent dat je bij al je ontwerpbeslissing rekening houdt met de impact hiervan op gegevens over personen. Denk aan eigen medewerkers maar ook aan klanten en burgers. Dankzij PRISM [3] zijn hier nu extra overwegingen bij gekomen zoals “Wil ik mijn gegevens nog delen in een Amerikaanse cloud?”. Indien het CIO-office hier geen heldere kaders voor heeft beschreven, is het aan de informatiemanager om in voortrajecten kritische vragen te stellen. Het wordt tijd dat het paradigma voor het beschermen van de persoonlijke levenssfeer weer in handen wordt gelegd van de persoon zelf [11].
4) Select the Strongest Partners: “Most companies are a little wheel within an eco-system. To be successful a whole chain of companies need to be successful. Defining a secure business model and business operations will give you a leap ahead. This also means that your company must be a strong business partner for other companies as well. Managing dependencies and obtaining relevant information from your eco-system is an important activity because you can not secure things you can not control but you can still select your strongest business partners.”
Organisaties worden steeds meer een leverancier van ontkoppelbare business services[4] die in verschillende informatieketens worden gebruikt. In dit ecosysteem van business services zal conform de leer van Darwin alleen de sterkste overleven. Dit is precies nu gaande binnen de Nederlandse overheid, waarbij niet alleen informatieketens, maar ook shared services worden opgezet door die organisaties met het beste dienstenaanbod. Dit is een verdere uitwerking van het architectuurprincipe: “Bedrijfsonderdelen specialiseren zich”. Dankzij de toepassing van open standaarden wordt dit gelukkig ook steeds eenvoudiger.
5) Minimize Confidential Information: “If you have nothing to hide than you don’t have to protect it’s confidentiality. Avoiding confidential information is not an easy task but worth the effort. It starts with a mindset “open, unless” instead of “confidential, unless”. More and more organizations promote transparency and are adopting open innovation models and are using the brains outside the organization”
Wat je niet geheim hoeft te houden, hoef je vanuit het oogpunt van vertrouwelijkheid ook niet te beveiligen (wel vanuit het oogpunt van integriteit en authenticiteit uiteraard). Hier hebben overheden een belangrijke les te leren. Was het in het verleden stoer om een document hoog te classificeren, nu is deze informatie een blok aan het been, zeker indien de procedures voor de-classificatie niet zijn ingericht. Ook het ongebreideld verzamelen van vaak persoonlijke informatie is een blok aan het been. Want hoe meer vertrouwelijke informatie je hebt, hoe meer inspanning dit kost om het geheim te houden. Zelf de NSA kan hier nu over meepraten…
De informatiemanager stuurt dus op transparantie en identiteitsarme transacties. Hiermee wordt het ook een stuk eenvoudiger om te voldoen aan de Wet Bescherming Persoonsgegevens (WBP).
6) Become More Situational Aware: “If your organization makes the step to a more granular security architecture this will mean that every object (e.g. business resource) need to be aware of it’s context and able to protect itself. The department of Defense calls this “situational awareness”. Making nodes more intelligent will improve the situational awareness and frees up central bodies from operational decision making.”
De oude manier van beveiligen volgt het “fortress mentality” [5] paradigma. Vaak gaat dit gepaard met grote fysieke en digitale hekken om de eigen organisatie. Een slimmere manier van beveiligen is echter het “notenbrood” paradigma. De noten zijn de kroonjuwelen uit de organisatie en worden streng beveiligd, liefst op dataniveau. De rest van de organisatie, het brood, kan toe met een meer fluïde manier van beveiligen conform marktstandaarden. De mens is hierbij niet meer de zwakke schakel maar een sensor van de beveiligingsorganisatie. Social media neemt in dit verband een steeds prominentere rol in om beveiligingszwakheden aan de kaak te stellen. Eindgebruikers dienen zich dan wel bewust te zijn van de context waaruit zij werken. Hetzelfde geldt voor de ICT ondersteuning die zij tijd- en plaatsonafhankelijk gebruiken.
7) Manage the Unexpected: “In this interconnected world there is a but…. Not every risk can be identified and managed on forehand. You need to be able to detect incidents you could not imagine before and respond to this very quickly and recover from it. So you need to balance your security investment between prevention en resilience.”
Wie had ooit kunnen denken dat een meisje die een “sweet sixteen party” wilde organiseren via Facebook[6], de gemeente Haren en omgeving in de problemen zou brengen. Wat we hiervan kunnen leren is dat er altijd risico’s overblijven die we van te voren niet hadden kunnen voorzien. Slimme organisaties houden hier rekening mee, hoe gek dit ook klinkt. Dit kan door een slimme combinaties van beveiligingsprincipes [7,8] , voldoende beveiligingssensoren toe te passen (waaronder sociale media) en een snelle incident en response organisatie te hebben. Capgemini Consulting [9] heeft een uitgebreide ervaring met het opzetten van dergelijke organisaties. Denk ook aan regelmatig een sloepentest uitvoeren en serious gaming [10].
Samenvattend; de informatiemanager heeft genoeg onderwerpen waarover hij/zijn de deskundigen kan bevragen en informatiebeveiliging is nog nooit zo leuk geweest!
Referenties en definities:
1) Paper over Risk Appetite;
2) Wikipedia pagina over Edward Snowden;
3) Wikipedia pagina over PRISM:
4) Managing Risk in Mashup Corporations
5) Fortress Mentality: “A fortress mentality is characterized by investing time and effort into defensive behavior, so much so that the individual or organization can lose sight of what is happening outside themselves.”
6) Project X Haren rapporten:
7) Levend artikel over security principes:
8) White paper over security principles
9) Capgemini Consulting
10) Het kweken van echte leiders middels serious gaming
11) PISA - The Personal Information Security Assistant
Expert
