Sandbox:Assen van weerbaarheid
Naar navigatie springen
Naar zoeken springen
De mate waarin organisaties zich weerbaar kunnen maken tegen aanvallen van dreigers, zowel van buitenaf als van binnenuit, kunnen we duiden aan de hand van de z.g. “assen van weerbaarheid”.
Een slimme combinatie van maatregelen voor mens, proces en techniek kan zorgen voor voldoende weerbaarheid.
- Weerbaar door ‘Secure by Desire’ wordt over de as van Techniek en Kennis bereikt, door de business actief in de lead te laten zijn voor de eisen van informatieveiligheid. Tools daarvoor zijn de Business- en Privacy Asessments (BIA en PIA). Belangrijke eisen zijn maximale duur van uitval bij calamiteiten en het maximale dataverlies alvorens de organisatie zou ophouden te bestaan. Dit zijn belangrijke, kostenbepalende factoren om mee te nemen in het ontwerp. Een ander voorbeeld is dat informatiesystemen BI-informatie verschaffen over welke eindgebruiker (of service) welke informatie bewerkt. De BI-informatie over gebruikersgedrag wordt door
- Weerbaar tegen aanhoudende dreiging wordt over de as van ‘Techniek en Actie’ bijvoorbeeld bereikt door monitoren van communicatie- en systeemgedrag en de businesscase van de aanvaller te kennen. Deze kennis moet vanuit de business van een bedrijf worden opgebouwd.
- Weerbaar door Kennis en Gedrag wordt bereikt middels Training en bewustzijn van eindgebruikers en deze aan te spreken op hun rol en verantwoordelijkheid bij het realiseren van informatieveiligheid. Voor Security by Design is kennis van het gefaseerd mee-ontwerpen van beveiligingsmaatregelen randvoorwaardelijk.
- Weerbaar door te weten wie welke handeling verricht, wordt over de as van ‘Actie en Gedrag’ bereikt door toezicht te houden op eindgebruikers die zich toegang verschaffen tot processen en gegevens en dit te vergelijken met de bedrijfsregels hierover. Dat zijn in feite de autorisatieregels en de regel voor functiescheiding.
Per sector schetst de figuur enkele maatregelen waarmee specifieke weerbaarheid kan worden bereikt.