Aanpak informatiebeveiliging bij nieuwe IT-trends

Aanpak informatiebeveiliging bij nieuwe IT-trends
 
Informatiebeveiliging in 2012 richt zich binnen het bedrijfsleven op de nieuwe manieren van samenwerken die geëist worden door de nieuwe generatie medewerkers. Social media, cloud computing, Het Nieuwe Werken en Bring Your Own Device zijn hierbij de belangrijkste nieuwe trends. Helaas betekenen deze nieuwe trends ook nieuwe risico’s. Inzicht in de impact van deze trends en de risico’s die ze met zich meebrengen is cruciaal. De auteurs beschrijven een aanpak om deze trends te faciliteren, zonder daarbij informatiebeveiliging uit het oog te verliezen.

Rowald Herijgers en Irma Meinema
 
We leven in een snel veranderende samenleving waarin het delen van informatie centraler komt te staan en informatie gevoeliger wordt. Dit fenomeen is geïnitieerd door de nieuwe generatie werknemers. Ze nemen het initiatief om social networking en mobiele apparatuur ook in hun werk toe te passen. Gevoelige bedrijfsinformatie wordt op social media, mobiele apparatuur of in de cloud geplaatst zonder dat organisaties zicht hebben op het risico van informatieverlies. Erkenning van deze risico’s treedt op als informatie ongewild buiten de organisatie is gebracht door diefstal of verlies.
De nieuwe generatie vraagt de werkgever om flexibel te zijn in het beschikbaar stellen van informatietechnologie. De vraag is vervolgens niet of initiatieven zoals Bring Your Own Device (BYOD), Het Nieuwe Werken (HNW), cloud computing en social networking ondersteund moeten gaan worden, maar hoe en wanneer.
Nieuwe generatie
Nieuwe generatie medewerkers
Uit onderzoek over 2009 bleek al dat bijna driekwart (72 procent) van de jongeren tussen 14 en 17 jaar en 82 procent van de jongvolwassen (18 tot 29 jaar) gebruikmaakt van social media (Lenhart et al., 2010). Dit in tegenstelling tot de groep van 30 jaar en ouder, waarvan 40 procent gebruikmaakt van social media (zie figuur 1). Voor 2010 en 2011 is aan te nemen dat dit percentage alleen maar gestegen is.
Figuur 1. Gebruikvansocialmediadoor jongerenenjongvolwassenenin2009 (bron: Lenhart et al., 2010)
 
Nieuwe generaties zijn de toekomst voor het bedrijfsleven. Ze betreden (net) de arbeidsmarkt, waarbij ze de vernieuwende kijk op social media meenemen naar het bedrijf.
Jongeren zien het tot beschikking hebben van internet dan ook als iets wat van levensbelang is, vergelijkbaar met lucht, water, voedsel en onderdak, zo blijkt uit onderzoek van Cisco (2011).
Twee op de vijf jongeren geven aan dat ze liever een slechter betalende baan accepteren waar de flexibiliteit van de werkplek groot is, dan een goed betalende baan zonder flexibiliteit.
Nieuwe generatie bedrijven
Ook het bedrijfsleven ziet het nut in van social media, BYOD en Het Nieuwe Werken. Er ontstaan een ‘nieuwe’ generatie bedrijven zodra de nieuwe trends worden omarmd en bedrijven daarmee enerzijds bewust medewerkers gaan faciliteren en anderzijds klanten op een aangepaste manier gaan benaderen/bereiken. Dit wordt goed geïllustreerd door het Social Media Monitor-onderzoek dat jaarlijks wordt uitgevoerd door Social Embassy (2011). Er is een flinke groei te zien in het gebruik van sociale netwerken bij de top honderd bedrijven (zie figuur 2).
 
Figuur 2. Groeiingebruiksocialenetwerkenbijtophonderdbedrijven (bron: Social Embassy, 2010)
 
 
Nieuwe generatie risico’s
Deze vernieuwde kijk op het omgaan met elkaar op de werkvloer brengt risico’s met zich mee.
Informatie is immers voor deze werknemers het liefst overal en altijd beschikbaar, maar is ook beschikbaar als een device is gestolen of als er onveilige communicatie plaatsvindt. Social networking is de meest voorkomende online activiteit (een op de vijf minuten online wordt gebruikt voor social networking; comScore, 2011). De werknemer is van mening en gaat ervan uit dat de werkgever de verantwoordelijkheid op zich neemt om de (kritische) bedrijfsinformatie voldoende te beveiligen, ook tijdens social networking.
Aanpak informatiebeveiliging bij nieuwe trends
Het mag duidelijk zijn dat het verbieden van het gebruik van de nieuwe trends geen optie is voor werkgevers die willen blijven vernieuwen en mee willen gaan in moderne tijden. Er zijn vele voordelen te noemen, maar de belangrijkste zijn:
• (jonge) werknemers zijn meer tevreden;
• (samen)werken wordt effectiever;
• meer communicatiekanalen kunnen gebruikt worden voor marketeers en recruiters.
De aanpak om de trends beheerst te kunnen doorvoeren, omarmt risicomanagement. De te nemen stappen voor risicomanagement zijn in de basis gelijk en zijn afgebeeld in figuur 3. Voor de invulling van deze stappen is er een verscheidenheid aan methoden te gebruiken.
Organisaties die risicomanagement hoog in het vaandel hebben staan, hebben een risicomanagementinrichting gekozen waarbij periodiek de eerste drie fasen worden uitgevoerd:
1. Businessimpactanalyses worden uitgevoerd op processen en middelen.
2. Risicoanalyses worden uitgevoerd op de kritische processen en middelen.
3. Maatregelenanalyses worden uitgevoerd op de vastgestelde risico’s.
 
Figuur 3. Faseringvanrisicomanagementvoornieuwetrends voorheen al een impactbepaling
 
In het vervolg van dit artikel wordt ervan uitgegaan dat businessimpactanalyses, risicoanalyses en maatregelenanalyses momenteel al binnen de 3 organisatie worden uitgevoerd. Wanneer organisaties hier echter nog niet aan toe zijn gekomen, is het van belang deze analyses toe te gaan passen (en te relateren aan het gebruik van de nieuwe trends).
De verschillende fasen worden daar waar nodig geïllustreerd met een voorbeeld van nieuwe trends, namelijk de invoering van iPhones en iPads bij een fictief bedrijf.
 
Fase 0 – Haalbaarheidsstudie
Per trend dient een haalbaarheidsonderzoek te worden uitgevoerd. Iedere trend heeft zijn specifieke voor- en nadelen (zie figuur 4). Niet iedere trend kan direct worden doorgevoerd in de organisatie. Er zijn vele afhankelijkheden, zoals volwassenheid van de organisatie (mensen, middelen, processen), beleid van de organisatie, juridisch kader, kosteneffectiviteit in relatie met de branche en de omvang van de organisatie. Niet iedere trend dient volledig doorgevoerd te worden. Het kan juist een goede keuze zijn om de trend gedeeltelijk door te voeren indien bijvoorbeeld kennis geleidelijk opgebouwd dient te worden.
 
Figuur 4. Haalbaarheid
 
Fase 1 – Update van businessimpactanalyses (BIA’s)
Wat is de impact op de huidige processen en middelen wanneer een nieuwe trend in de organisatie wordt geïntroduceerd? In deze fase wordt de impact van verlies van informatie en/of middelen bij invoering van de nieuwe trend ingeschat (zie figuur 5). Na de impactbepaling weet men hoeveel pijn het doet wanneer (gevoelige) informatie buiten de deur komt te liggen. Als het goed is, is uitgevoerd waarbij de oude manier van werken gevolgd werd. Het is interessant om te zien of het gebruik van de nieuwe trend de impact verhoogt. Bij het uitvoeren van de BIA is het van belang om IT en business deel te laten nemen.
 
Figuur 5. VoorbeeldvansubsetvanfictiefuitgevoerdeBIA
 
Fase 2 – Update van risicoanalyses
De vorige fase heeft aan het licht gebracht dat de impact van de invoering van nieuwe technologie op de bedrijfsvoering de pijngrens nadert. Wat zijn de risico’s die de organisatie neemt bij de invoering van de nieuwe technologie? In figuur 6 is een voorbeeld te zien. Wederom is het sterk aan te bevelen om zowel IT als business bij de analyse te betrekken. IT zal zich verdiepen in de (on)mogelijkheden van de techniek van de trend en de business zal zich verdiepen in de bedreigingen die de trend met zich meebrengt voor de businessprocessen.
 
 
Figuur 7. VoorbeeldvanmaatregelenvoorinvoeringiPhoneseniPads
 
Fase 3 – Update van maatregelenanalyses
Het resultaat van de risicoanalyses is een overzicht van de risico’s per kritisch proces/middel. Nieuwe trends brengen als tegenhanger nieuwe maatregelen met zich mee. In deze fase worden de specifieke maatregelen om de risico’s tot een acceptabel niveau terug te brengen bepaald (zie figuur 7). Afhankelijk van de ingeschatte risico’s, de aanwezigheid van de te treffen maatregelen en de kosteneffectiviteit worden besluiten genomen over het al dan niet invoeren van de nieuwe trend.
 
Fase 4 – Invoering van additionele maatregelen
Na het nemen van de beslissing of de nieuwe trend wordt ingevoerd, kunnen de gekozen maatregelen daadwerkelijk worden geïmplementeerd. Risico’s worden hiermee afgedekt tot een geaccepteerd niveau.
 
Fase 5 – Periodieke evaluatie
De maatregelen die doorgevoerd zijn, dienen op effectiviteit te worden geëvalueerd (zie figuur 8). Dit wordt uitgevoerd door periodiek de BIA en vooral de risicoanalyse te herhalen. In theorie moeten de getroffen maatregelen de risico’s voldoende beperkt hebben. Controle is nodig aangezien er omgevingsvariabelen veranderen, waardoor het risicoprofiel ook verandert.
 
Figuur 8. Resultaat van beïnvloeding van risico’s door maatregelen (kans en impact beïnvloeden)
 
 
Literatuur
Cisco (2011). Cisco Connected World Technology Report,www.cisco.com/en/US/netsol/ns1120/index.html.
comScore (2011). It’s a Social World: Social Networking Leads as Top Online Activity Globally, Accounting for 1 in Every 5 Online Minutes (persbericht), www.comscore.com/Press_ Events/Press_Releases/2011/12/Social_Networking_Leads_ as_Top_Online_Activity_Globally. Lenhart, A. et al. (2010). Social Media & Mobile Internet Use Among Teens and Adults. Pew Internet & American Life Project, http://web.pewinternet.org/~/media/Files/ Reports/2010/PIP_Social_Media_and_Young_Adults_ Report_Final_with_toplines.pdf.
Social Embassy (2011). Rapport Social Media Monitor 4,socialmediamonitor.nl/rapport.
 
Rowald Herijgers is security consultant bij Infráccent. Zijn specialisme is risicomanagement en business continuity management. E-mail: r.herijgers@infraccent.nl.
IrmaMeinema is security consultant bij Infráccent. Haar specialisme is IT-audit en compliance. E-mail: i.meinema@infraccent.nl.
 

Tag

Onderwerp



Niet gevonden? Vraag het de redactie!

Heeft u het antwoord op uw vraag niet gevonden, of bent u op zoek naar specifieke informatie? Laat het ons weten! Dan zorgen we ervoor dat deze content zo snel mogelijk wordt toegevoegd, of persoonlijk aan u wordt geleverd!

Stel uw vraag