Voor mijn werkgever Korton Computer Communications heb ik ook dit jaar in deze maand een aantal tips opgeschreven. De eerste tip gaat over risicobeoordeling. Wellicht overbodig maar de artikelen zijn in de basis gericht op mijn collega’s 🙂
(European) Cybersecurity Month
Wat een feest hoor ik je denken. En dat is het zeker. In een viertal (4) berichten zal ik jullie meenemen langs verschillende onderwerpen die (o.a.) van belang zijn voor jou als medewerker.
Het eerste onderwerp gaat over risicobeoordeling.
Niet het meest sexy onderwerp, maar (ook) binnen de informatiebeveiliging wel heel belangrijk. Immers zonder goed te weten waar risico’s zich bevinden kun je ook geen adequate of nodige maatregelen nemen. Korton heeft een risicoregister en dat bevindt zich in een webapplicatie dat is aangeboden vanuit TSH.
Alle risico’s in dit register (groot of klein) vereisen maatregelen om het risico zoveel mogelijk te mitigeren. Het is overigens niet zo dat het risico door het nemen van maatregelen verdwijnen. De maatregelen zorgen ervoor dat de kans en/of impact van een risico minder worden. Een risico kan pas verwijderd worden als daar waar het over gaat er niet meer is.
Deze risico’s en maatregelen moeten periodiek beoordeeld. Voor risico’s (min. 1x per jaar om het vinkje te kunnen zetten ;-)) om te bepalen of ze toe- of afgenomen zijn en de maatregelen om te bepalen of deze nog adequaat zijn.
Expertise en opleiding
Hoe rijmt dit onderwerp nu met risicobeoordeling? Welnu, om een juist beoordeling te kunnen maken zul je natuurlijk wel terzake kundig moeten zijn. Ik persoonlijk kan niet direct beoordelen of er in het financiële proces er een risico is met betrekking tot de informatiebeveiliging. Daar heb ik toch echt de expertise van de finance collega’s voor nodig. Of beter gezegd, de finance manager heeft deze nodig want hij is eigenaar van dit proces en heeft dus de input van hen nodig. Tijdens een jaarlijkse risicobeoordeling die Korton uitvoert kan deze dan aangeven of er nieuwe risico’s zijn en of de bestaande risico’s kleiner of groter geworden zijn door de maatregelen te beoordelen.
Het is dus belangrijk dat je zoveel mogelijk (inhoudelijk) op de hoogte blijft van het vakgebied waar je werkzaam in bent. En dan is het maar een kleine stap naar het volgende onderdeel.
Continue verbetering
Dit is een belangrijk onderdeel. Immers kun je, zeker binnen de ICT, geen goede inschatting maken als je niet op de een of andere manier bij blijft met de techniek waar je mee werkt en die wij voor onze klanten inzetten. Uiteraard kun je zelf nieuwe technologieen uitvogelen (erg leuk kan ik je zeggen), maar je kunt ook in overleg met P&C een leuke opleiding volgen. Daar wordt Korton wijzer van maar met name jijzelf. En doordat je (continu) nieuwe kennis op doet, kun je ook beter risico’s en de bijbehorende maatregelen beter inschatten en beoordelen.
Communicatie met de klant
Een klant is vaak heel goed in dat wat zij hun klanten weer aanbieden. Veelal snappen zij niets van de (technische) termen die wij soms uitkramen. Hoezo je snapt DKIM niet beste klant. Het is toch duidelijk dat dit de afkorting is voor DomainKeys Identified Mail en het feit dat het niet “aan” staat de veiligheid niet ten goede komt?
Of dat het open hebben staan van port 1433 naar de hele wereld geen slim idee is? De klant heeft echt geen idee je eigenlijk bedoelt dat iedereen een poging kan wagen om in hun Microsoft SQL server kan inloggen.
Als je dus een risico hebt geïdentificeerd en je gaat dit met de klanten communiceren, wees dan duidelijk en ga er eigenlijk van uit dat ontvangende kant niet goed weet waar je het over hebt.
Let er dan wel op dat je niet alle informatie (onbeveiligd) met de klant deelt. Want als zijn mailbox bijvoorbeeld gecompromitteerd is, dan hoef ik jou niet uit te leggen wat de mogelijke andere gevolgen zijn.
Risico’s en de te nemen maatregelen zijn zaken die je te allen tijde kunt doorgeven / laten registreren. Het zou namelijk niet goed zijn als je van een risico op de hoogte bent, maar deze pas tijdens een jaarlijkse risico analyse kenbaar maakt.
Dit is het voor deze maandag van de maand oktober.
De komende maandag volgt een nieuw onderwerp.
Tot dan. En je weet mij te vinden.
-thijs
