Risicomanagement en informatiebeveiliging

PART 13-B

Risicomanagement en informatiebeveiliging

KPMG Information Risk Management Amstelveen, 7 augustus 2002 Dit rapport heeft 65 pagina’s CC/sk/rn

Risicomanagement en informatiebeveiliging KPMG Information Risk Management Amstelveen, 7 augustus 2002

Inhoudsopgave 1

Inleiding

2

2

Begrippen in risicomanagement en informatiebeveiliging

4

3

In beeld brengen van risico’s

10

3.1 3.2

Dreigingenanalyse Gevolgenanalyse

10 20

4

Maatregelen

28

5

Analyse van risico’s en A&K

41

5.1 5.2 5.3

Inleiding Voorbeeld van een kwantitatieve risicoanalyse Voorbeeld van een A&Kanalyse

41 42 43

6

Besluitvorming

50

6.1 6.2 6.3

Inleiding De strategieën Het kiezen door het management

50 52 58

7

Een toepassing

63

1


1

Inleiding Risicomanagement en informatiebeveiliging zijn twee begrippen die nauw met elkaar zijn verbonden. Bovendien zijn de begrippen samengesteld uit woorden die apart ook een betekenis hebben. Risico, management, informatie en beveiliging. In de praktijk worden deze woorden veelvuldig gebruikt in verschillende verbanden en betekenissen. Hierdoor is een begripsbepaling noodzakelijk. De doelstelling van deze module in de postdoctorale EDP Audit Opleiding is naast het bijbrengen van kennis en vaardigheden, een introductie in de wijze waarop met risico’s kan worden omgegaan. Risico’s worden sterk bepaald door de actuele omstandigheden waarin een organisatie zich bevindt. Bovendien spelen subjectieve oordelen een belangrijke rol waardoor het toepassen van opgedane kennis vooral aan zal komen op het herkennen van mogelijkheden bepaalde methodes toe te passen. Wat is er bijzonder aan informatiebeveiliging? Wat zijn de verschillen met het beveiligen van andere bedrijfsmiddelen, bedrijfsprocessen of de mensen die daarbij actief zijn? In 1994 werd een symposium gehouden over de evolutie van informatiebeveiliging. 1 Deze evolutie werd vooral gezien vanuit het vak EDP-auditing. Dit vak is nauw verbonden met de apparatuur en programmatuur waarmee in organisaties wordt gewerkt. De controlerende taak van de accountant heeft zich door het toenemende gebruik van informatietechnologie (Electronic Data Processing) uitgebreid naar de werking van de hulpmiddelen. Informatietechnologie zit tegenwoordig overal in, zowel in dingen als in activiteiten. Information Risk Management is een nieuwe term die in de Angelsaksische landen voor de inmiddels uitgebreide taken van de EDP-auditor wordt gebruikt. De risico's die horen bij de toepassing van informatietechnologie vereisen meer aandacht en een breder beheer van de mensen, middelen en procedures waarvan gebruik wordt gemaakt. In deze module wordt achtereenvolgens ingegaan op de volgende onderwerpen: Hoofdstuk 2: Begrippen rond risicomanagement en informatiebeveiliging, waar gaat het om? Hoofdstuk 3: Risico’s, wat is dat en hoe kunnen ze in beeld worden gebracht? Hoofdstuk 4: Maatregelen, waar zijn die op gericht, hoe kunnen die worden ingevoerd en actueel gehouden? Hoofdstuk 5: Analyse van risico’s en A&K; Hoofdstuk 6: Besluitvorming, als er inzicht is in de risico’s en de maatregelen wat doen we daar dan mee? Hoofdstuk 7: Een toepassing.

1

Prof.dr.ir. R. Paans RE redacteur: Beveiliging in beweging, evolutie in informatiebeveiliging: het toenemend belang van

EDP-auditing. Samson 1995 ISBN 90 14 05067 4

2


In deze module zal worden toegelicht hoe op een methodische wijze een risicoanalyse kan worden uitgevoerd. De elementen die daarvoor noodzakelijk zijn worden besproken waarbij tevens wordt ingegaan op de wijze waarop de benodigde gegevens kunnen worden verzameld. De ervaringen die zijn opgedaan bij de analyse van risico's in de praktijk zullen aan de orde worden gesteld. Tevens zullen de deelnemers tijdens de opleiding worden uitgedaagd zelf oplossingen aan te dragen voor verschillende vragen en situaties. Tijdens de opleiding zullen de voorbeelden vooral uit de sfeer van de informatietechnologie komen. Dat de methode ook voor andere situaties en onderwerpen kan gelden zal daarbij vanzelf blijken. De essentie van de methode is het tonen van de onderlinge relaties van de grootheden die risico's vormen.

3


2

Begrippen in risicomanagement en informatiebeveiliging Beveiligen Beveiligen is traditioneel gericht op het beschermen van waarden. Door het treffen van maatregelen worden mensen en middelen beschermd waardoor de organisatie ongestoord kan functioneren. Om dat goed te kunnen doen moet bekend zijn welke waarden bescherming verdienen en hoever je daarmee wilt gaan. Aan beveiliging hangt een prijskaartje en het vinden van argumenten om de prijs te bepalen is dan ook een onderdeel van risicomanagement. Het gaat dus om inzicht en vervolgens het doen van keuzen. Deze keuzen zijn niet altijd eenvoudig te maken omdat de relaties tussen kosten en opbrengst niet steeds eenduidig is. Brandblussers tegen brand en sloten tegen inbrekers, zijn maatregelen die makkelijk kunnen worden overzien. Maar hoe beveilig je de organisatie tegen de gevolgen van computeruitval, fraude, hackers en ander ongemak dat is verbonden aan het gebruik van informatietechnologie? En dan zijn er nog vele andere risico's waarmee modern management wordt geconfronteerd.

Risicomanagement Risicomanagement is het vak dat zich bezig houdt met de methoden die nodig zijn om het vereiste inzicht te verkrijgen en de juiste beslissingen te nemen rond vragen van beveiliging. Een aardige definitie is die van Bernstein: “The essence of risk management lies in maximizing the area’s where we have some control over the outcome while minimizing the areas where we have absolutely no control over the outcome and the linkage between effect and cause is hidden for us”.2 Centraal staat bij risicomanagement de strategische vraag naar de doelen en prioriteiten in de beveiliging. Als de strategie duidelijk is kan aan de operationele uitwerking, het treffen en in stand houden van maatregelen, worden gedacht. De ervaring leert dat er niet één algemeen geldende oplossing is voor de vraag hoe de beveiliging van de organisatie moet worden opgezet. Steeds zal voor het individuele geval moeten worden bepaald wat de optimale mix van maatregelen is voor de beveiliging van mensen en middelen. Daarvoor is inzicht nodig in de risico’s en de mogelijke maatregelen om die risico’s te beperken. Risicomanagement omvat alle activiteiten die betrekking hebben op de risico's die een organisatie loopt. Tot die activiteiten behoren: verkrijgen van inzicht in de risico's, vaststellen doelen, beleid, strategie met betrekking tot het beperken van deze risico’s; realiseren maatregelen; 2

Peter L. Bernstein, Against the Gods, The remarkable story of risk, John Wiley&Sons, Inc. 1996

4


toezicht houden op status van de maatregelen door controle; actueel houden en bijsturen van inzicht, beleid en maatregelen.

Informatiebeveiliging De essentie van informatiebeveiliging is het treffen van maatregelen waardoor de: beschikbaarheid van, betrouwbaarheid van, vertrouwelijke omgang met hardware, software en gegevens, voldoet aan de gestelde eisen. De beschikbaarheid van informatie, die wij vanzelfsprekend vinden, is afhankelijk van de beschikbaarheid van de elementen van de informatietechnologie. Deze elementen zijn apparatuur (hardware), programmatuur (software) en de gegevens waarmee de informatie tot stand komt. Informatiebeveiliging richt zich op deze elementen maar beperkt zich niet tot maatregelen om de beschikbaarheid te garanderen alleen. De informatie zal betrouwbaar moeten zijn, dat wil zeggen we moeten kunnen vertrouwen op de feitelijke juistheid ervan. Verkeerde informatie zet ons op het verkeerde been en leidt tot verkeerde beslissingen en misverstanden. Dat moet worden voorkomen. Een derde aspect van informatiebeveiliging is de vertrouwelijkheid. Door de technologie is het mogelijk veel gegevens op te slaan, te transporteren en bereikbaar te maken. Daarbij moet worden tegengegaan dat informatie in verkeerde (niet bedoelde) handen terechtkomt. Informatietechnologie wordt gebruikt om de bedrijfsactiviteiten te ondersteunen. Het zijn de bedrijfsactiviteiten die het rendement van de organisatie moeten opleveren. De faciliteiten die door de informatietechnologie worden geboden en de mensen die ermee werken, moeten dus voortdurend voldoen aan de gestelde eisen. Niet-beschikbare apparatuur, programmatuur of gegevens leiden tot vertragingen waardoor afgesproken termijnen niet worden gehaald. Niet-betrouwbare informatie leidt tot "vragen" van de afnemer. Mogelijk leidt het ertoe dat de klant van verdere contacten maar helemaal afziet. Onbetrouwbaarheid is geen goede basis voor een langdurige relatie. Hetzelfde geldt voor het derde element van informatiebeveiliging: de vertrouwelijkheid waarmee de organisatie omgaat met de gegevens van en over derden. Inbreuken daarop leiden tot een slecht "beeld" van de organisatie en tast de geloofwaardigheid snel aan. Volop redenen dus om inzicht te willen hebben in de mogelijke risico's van het gebruik van informatietechnologie. Op grond van dat inzicht kunnen dan strategieën worden ontworpen om de risico's, die niet acceptabel worden geacht, te verminderen.

5


In de Code voor informatiebeveiliging3 wordt op verschillende plaatsen aangegeven dat risicoanalyse moet worden uitgevoerd om tot de keuze van beveiligingsmaatregelen te komen. De Code is opgezet door het bedrijfsleven als een gemeenschappelijke standaard en naslagwerk voor de beveiliging van het gegevensverkeer tussen bedrijven en voor het leveren of verwerven van IT-diensten en IT-producten. De Code is in 1993 ontstaan in Groot Brittannië en heeft daar inmiddels de status van standaard: BS7799. De Nederlandse Code voor Informatiebeveiliging is een vertaling van de Britse standaard BS 7799 Part 1: 1999 en ISO 17799:2000. Het eerste deel bestaat uit een overzicht van mogelijke maatregelen gegroepeerd naar tien onderwerpen. Het tweede deel beschrijft een proces dat kan worden gebruikt voor het selecteren en invoeren van maatregelen in een concrete situatie. De Code bevat een opsomming van beveiligingsmaatregelen verdeeld over 10 hoofdstukken: 1. Beveiligingsbeleid 2. Beveiligingsorganisatie 3. Classificatie en beheer van bedrijfsmiddelen 4. Beveiligingseisen ten aanzien van personeel 5. Fysieke beveiliging en beveiliging van de omgeving 6. Beheer van Communicatie -en bedieningsprocessen 7. Toegangsbeveiliging 8. Ontwikkeling en onderhoud van systemen 9. Continuïteitsmanagement 10. Naleving Omdat de Code in de praktijk is ontstaan, mag worden verondersteld dat het een maatstaf is voor een minimale beveiliging die business partners van elkaar vragen. Het karakter van de Code wordt steeds meer die van een praktijkstandaard. Minder beveiliging dan door de Code wordt aangegeven zal in het maatschappelijke verkeer niet meer worden geaccepteerd. Waar dat vereist wordt door het belang van de ondersteunde processen, zullen echter meer en scherpere eisen worden gesteld aan de beveiliging van informatie en de verwerking daarvan.

Afhankelijkheid Iedere organisatie is afhankelijk van de beschikbaarheid en de betrouwbare werking van de informatietechnologie. Zowel de continuïteit als de geloofwaardigheid van de organisatie zijn in het geding zodra de informatietechnologie het laat afweten. Dat kan gebeuren als gevolg van vele oorzaken. Op zichzelf zijn deze oorzaken niet van belang. Het gaat om de effecten die daarvan het gevolg kunnen zijn.

3

Code voor Informatiebeveiliging Nederlands Normalisatie Instituut 2000

6


Dat er alle reden is om de zwakke punten in het gebruik van de informatietechnologie goed in het oog te houden komt tot uitdrukking in de ondertitel van een verhaal over operational risk management4: “All the sophisticated market and credit risk measurement systems in the world will not shield banks from potentially disastrous losses brought about by IT deficiencies or poor internal controls”. In het kader van “Bazel 2” wordt door banken nagedacht over de manier waarop operationele risico’s kunnen worden vastgesteld. Op termijn zullen banken verplicht zijn op grond van de hoogte van dergelijke risico’s een reservering aan te houden. Tijdens een toespraak (15 maart 1996) voor de Rotterdam School of Management vergeleek de toenmalige President van Philips, Jan Timmer, het belang van chips in onze maatschappij met die van olie in de jaren 70. Het verschil is natuurlijk dat de afhankelijkheid van de vele in apparatuur ingebouwde chips minder zichtbaar is. Toch gaat het bij chips om combinaties van hardware, software en gegevens die alleen onder bepaalde condities correct werken. Alle dreigingen die de condities nadelig beïnvloeden (zoals stroomstoringen) kunnen een risico opleveren. Volgens Gene Kim5 blijkt uit Amerikaans onderzoek dat de uitval van informatievoorziening in bedrijven gedurende twee uur oploopt tot meer dan een miljoen euro voor bedrijfskritische systemen. Uit een internationaal onderzoek van KPMG IRM blijkt in 2002 het aantal werkdagen dat bedrijven gemiddeld verloren bij het optreden van de Top-drie bedreigingen. Ook de gemiddelde schades blijken uit dit onderzoek: Topdrie dreigingen en gemiddeld aantal Gemiddeld schade bedrag verloren dagen 1 Website intrusion 84 (hackers) 2 Falen systemen

197k US$

kritische

3 Virussen

80

155k US$

68

162k US$

Risicoanalyse Het analyseren van de gevolgen van bedreigingen, waaraan een organisatie of een gedeelte daarvan blootstaat. Deze gevolgen kunnen worden uitgedrukt in financiële schadeverwachtingen. 4 5

Paul Penrose “Everything else besides”, banking technology april 1998 In Beveiliging, vaktijdschrift voor integrale veiligheidszorg augustus 2002

7


Het analyseren van risico's is een bezigheid die van nogal wat moeilijke begrippen gebruik maakt. Het moeilijke zit daarbij vaak in het feit dat termen in het dagelijks leven worden gebruikt. Voor een beschrijving van een methode voor risicoanalyse wordt verwezen naar: “Risicoanalyse als onderdeel van de Risk Control Method (RCM), een methode voor risicomanagement.”6 Veel van wat in hoofdstuk 3 en 4 wordt beschreven is gebaseerd op dit artikel. Risicoanalyse levert het inzicht dat nodig is om de beveiliging van de informatietechnologie te integreren in het risicomanagement van de organisatie.

A&Kanalyse De afhankelijkheid & kwetsbaarheidsanalyse is een methode die in het Voorschrift Informatiebeveiliging Rijksdienst (VIR) wordt aangeraden voor het analyseren van risico’s. 7

Risico Volgens de “dikke Van Dale”, is een risico een kwade kans. Het gaat dus om een mogelijke gebeurtenis die bovendien negatief wordt opgevat. Met andere woorden: alleen bij negatieve uitkomsten van de gebeurtenis wordt van een risico gesproken. In de literatuur wordt ook wel gesproken van zuivere (of statische) risico's om aan te geven dat de uitkomsten van de bedreiging altijd negatief zijn. Indien de uitkomsten ook positief kunnen zijn, wordt gesproken van speculatieve (of dynamische) risico's.8 Dit onderscheid wordt met name gebruikt om de verzekerbaarheid van risico’s te kunnen bepalen. Opvallend is dan ook dat in de verhalen waar dit onderscheid wordt gemaakt, vaak met het begrip “schade oorzaak” wordt gewerkt. Dat geeft een directe verwijzing naar de verzelkeringsvoorwaarden. Door de toenemende complexiteit van de maatschappij wordt het evenwel steeds moeilijker een scherpe scheiding aan te brengen tussen zuivere en speculatieve risico’s. Een voorbeeld hiervan wordt geleverd in een recent artikel9. Speculatieve risico’s zouden volgens een voorbeeld in dit verhaal “door ons zelf worden opgeroepen” door de beslissing een nieuw informatiesysteem aan te schaffen. Achteraf blijken de doelen niet te worden gehaald en het systeem wordt weer vervangen. Steeds is zorgvuldig gewerkt en is aan alles gedacht. Toch loopt het mis en verslechterd de situatie. “De kosten die met dit hele gebeuren samenhangen, vormen een belangrijke verliespost en zijn het gevolg van een beslissingsfout. Van een zuiver risico is sprake wanneer het risico bestaat uit een omstandigheid die we niet 6 7

8

Cees Coumou in: Handboek Informatiebeveiliging, A.I.V. Control, juni 2000 Voorschrift Informatiebeveiliging Rijksdienst, Ministerie van Binnenlandse Zaken, 1994

P.F. Claes en H.J.J.M. Meerman, Risk management inleiding tot het risicobeheersproces Stenfert Kroese 1991

9

P.F. Claes Benaderingen bij risicoanalyse, in Informatiebeveiligingjaarboek 1999/2000, TenHage&Stam

8


wensen en ook niet altijd in de hand hebben”. De vraag of in dit geval van een speculatief of zuiver risico sprake is, komt neer op de vraag of de “beslissingsfout” in kwestie betrekking heeft op iets dat “we in de hand hebben” of niet. Met andere woorden: als de beslissing (welke eigenlijk? Die om het systeem aan te schaffen? Of die om juist dat systeem aan te schaffen? Of nog een andere die tot het falen heeft geleid?)kan worden herleid tot een door ons zelf opgeroepen risico, dan zou het om een speculatief risico gaan. Het is duidelijk dat een scherpe grens niet is te bepalen in dit geval. Overigens is het onderscheid “zuiver/speculatief” voor risicomanagement niet van belang. Daar gaat het immers om het inzicht in de risico’s en de beslissingen die daar uit voortvloeien. Dat kan “verzekeren” zijn, maar ook iets anders (zie hoofdstuk 6). De maatschappelijke betekenis van risico's komt met name aan de orde als de overheid beslissingen moet nemen die met onzekere gebeurtenissen te maken hebben. Het keuzeproces dat in die gevallen wordt gevolgd heeft een politieke dimensie die tot uitdrukking komt in elkaar bestrijdende partijen. Daarmee is duidelijk dat risico's in sterke mate een subjectieve grootheid zijn. De individuele beleving van risico's leidt tot een houding en beoordeling van mogelijke gedragsmogelijkheden die van persoon tot persoon sterk kunnen verschillen. In een organisatie waar verschillende partijen (stakeholders) samenwerken, is het van belang duidelijk te zijn over de wijze waarop met risico's wordt omgegaan. Zowel voor het verkrijgen van consensus als voor het onderbouwen van een gekozen richting, kan risicoanalyse helpen "de neuzen in dezelfde richting" te krijgen.

Samenvatting Voor het beheersen van risico’s is het volgende onderscheid goed toepasbaar: de dreigingen en de kans waarmee die zich kunnen voordoen; de mogelijke gevolgen die kunnen optreden. Analyse van beide grootheden kan leiden tot voorstellen om door middel van preventieve (gericht op de kans van voorkomen) en/of repressieve (gericht op het beperken van schade) maatregelen. De keuze wel of niet maatregelen te treffen is voorbehouden aan de verantwoordelijke voor proces of organisatie. Het gaat er vooral om bewust te acteren: welke risico’s accepteren we en welke niet? Welke maatregelen worden er vervolgens getroffen? Pas als dreigingen zich manifesteren zal duidelijk zijn of de juiste maatregelen in voldoende mate zijn getroffen. Dan is er in ieder geval het moment om verantwoording af te leggen omtrent gemaakte keuzes. Fouten maken mag zolang ze verantwoord en betaalbaar zijn10.

10

Zie ook: Drs. C.J. Coumou en drs J.W.R.Schoemaker, Het managen van ICT-risico’s; over de onderhandelbaarheid van risico’s en maatregelen, in de Jubileumuitgave 25 jaar Compact (KPMG EDP Auditors en TenHage&Stam).

9


3

In beeld brengen van risico’s

3.1

Dreigingenanalyse Dreigingen vormen de bron van de kwade kansen die risico's voor de onderneming vormen. Door een analyse van de verschillende dreigingen die relevant worden geacht in een bepaalde situatie, wordt een basis gelegd voor de risicoanalyse. Hoe kunnen relevante dreigingen (of vaak gewoon risico’s genoemd) worden herkent? Als iedereen wordt uitgenodigd risico’s op te noemen dan ontstaat al gauw een waslijst van gebeurtenissen. Vele daarvan zijn (ongeveer) hetzelfde maar de woordkeuze verschilt, andere lijken meer op de gevolgen van een dreiging (failliet gaan) en weer andere zijn de dreigingen zelf (brand, fouten, misdaad). Er is dus veel voor te zeggen een enigszins gestructureerde manier van risico-identificatie toe te passen. Een voorbeeld kan het volgende schema zijn dat aan iedere bedrijfssituatie kan worden aangepast: Financiële risico’s Productierisico’s Risico’s van het primaire proces

Milieurisico’s Transportrisico’s Bedrijfstak Risico’s van de omgeving

Distributie Macroeconomie

Totale bedrijfsrisico

Brand Catastrofes Algemene risico’s

Criminaliteit Natuur Procesontwerp

Operationele risico’s

Technologie Mensen

10


Voor de aan IT gerelateerde bedreigingen wordt uitgegaan van de volgende gebeurtenissen die het gevolg kunnen zijn van het optreden van een bedreiging: het niet beschikbaar zijn van hulpmiddelen (bedrijfsmiddelen); het ongeautoriseerd openbaren van gegevens; het ongeautoriseerd wijzigen van gegevens. Met deze omschrijving wordt een relatie gelegd naar de drie onderwerpen die bij de beveiliging van IT een grote rol spelen: de beschikbaarheid of continuïteit; de privacy of exclusiviteit; de betrouwbaarheid of integriteit. Uit deze definitie blijkt dat het optreden van een bedreiging die niet lijdt tot één van de genoemde gebeurtenissen, feitelijk niet als risico wordt beschouwd en derhalve als bedreiging buiten beschouwing blijft. Met andere woorden, indien het optreden van een bedreiging niet tot een gevolg leidt, wordt de bedreiging in dat geval genegeerd. Omdat bedreigingen niet altijd dezelfde effecten hebben zal eenzelfde bedreiging soms wel en soms niet als risico worden beschouwd. Als voorbeeld kan de lengte van een stroomstoring dienen. Een korte stroomstoring kan zonder gevolgen blijven en als risico buiten een analyse worden gehouden. Een langdurige storing zal echter vrijwel altijd nadelige gevolgen hebben en kan derhalve niet buiten de analyse blijven. De keuze van bedreigingen die in een bepaalde situatie relevant worden geacht voor de analyse, wordt daarom bepaald door de mogelijke gevolgen. De mate waarin de bedreiging tot gevolgen zal leiden, wordt in een later stadium bepaald. Ook blijkt uit de bovengenoemde definitie dat alle geautoriseerde openbaarmaking en wijziging van gegevens worden beschouwd als normaal en acceptabel. Zij zouden daarom dus niet tot risico's leiden. Toch kan hierop kritiek worden geuit. Door onbewuste handelingen (fouten) kunnen negatieve gevolgen ontstaan. De betrokken persoon kan geautoriseerd zijn, maar is dat feitelijk niet voor ongewenste fouten en wat daaruit kan voortkomen. Dit is een reden de verschillende bedreigingen nader te bestuderen.

Statistiek De vele componenten waaruit informatiesystemen bestaan, kunnen alle onderwerp zijn van een bedreigende gebeurtenis. Er is sprake van "multiple points of failure". Wat dat betreft is een informatiesysteem weer goed vergelijkbaar met andere hulpmiddelen die worden gebruikt ter ter ondersteuning van de bedrijfsprocessen zoals logistiek, administratie,

11


productie en verkoop. Bij een analyse van mogelijke dreigingen kan inzicht nodig zijn in de specifieke situatie voor de betrokken onderneming. Het gaat daarbij niet alleen om de incidenten waarmee de organisatie werd geconfronteerd, maar ook met dreigingen die mogelijk zijn. In hoeverre kan algemene en statistische informatie daarbij helpen? Onderstaand overzicht is afgeleid uit de resultaten van het Computer Crime and Security Survey 2002, een US onderzoek onder 503 “security practioners”. Van de deelnemers zegt 80% financiële schade te hebben geleden. Slechts 44% is in staat (of bereid) in te gaan op de omvang van deze financiële schades. Een recent onderzoek in het UK komt op 41%. Kennelijk is de openheid niet groot, of is de omvang van opgetreden schade niet bekend. Inbreuk

Gevallen genoemd

Financiële schade genoemd

Gemiddelde schade per geval (US$)

Diefstal bedrijfsgegevens

20%

5%

6.571.000

Diefstal lap top computers

55%

27%

89.000

Fraude

21%

8%

4.654.000

Ongeautoriseerde toegang tot gegevens door internen

38%

3%

300.000

Inbreuken op Internet afspraken (intern)

78%

18%

536.000

Inbreuken die leiden tot het blokkeren van de toegang tot systemen

40%

12%

297.000

Sabotage

8%

6%

541.000

Vormen van hacking

40%

12%

226.000

Virussen

85%

35%

283.000

12


De moeilijkheden met kwantificeren van schades wordt onderstreept door het jubileum onderzoek van KPMG EDP Auditors in 1999.11 In deel 1 wordt gerapporteerd dat in 1998 door 28% van de deelnemers schade werd ondervonden door virussen. Dat is een hoog percentage als bedacht wordt dat 88% aangeeft dat zij standaarden en procedures hanteren ter voorkoming van virussen. Slechts 53% kan aangeven hoe groot de schade is geweest in verloren werktijd. Gemiddeld bedraagt die schade 6,9 werkdagen per geval. Het is vaak moeilijk goed inzicht te krijgen in feitelijk opgetreden bedreigingen. Om voor de hand liggende redenen zijn getroffen bedrijven vaak niet erg open over dergelijke gebeurtenissen. Een Amerikaans onderzoek 12 van de FBI laat zien dat 41% van de ondervraagde organisaties (175 van 428 ondervraagden) toegeeft dat hun computersystemen in het afgelopen jaar ten minste eenmaal te zijn geïnfiltreerd door een hacker. Van de ondervraagden zegt meer dan 83% de politie in voorkomende gevallen niet in te schakelen. Ook voor andere bedreigingen zijn voldoende cijfers beschikbaar die tonen dat de vraag: "kan het mij ook overkomen?", een academische is. Zonder behoorlijke maatregelen is het een kwestie van tijd zo lijkt het. De Michigan State University onderzocht bij 150 managers met verantwoordelijkheid voor informatiebeveiliging, de praktijk van computercriminaliteit. Vrijwel allen (98,6%) zeiden met een of andere vorm ervan in aanraking te zijn gekomen binnen de eigen organisatie13. Het nut van statistieken zit vooral in de bewustwording. Door bij de gepubliceerde cijfers de vraag naar de toepasselijkheid voor de eigen organisatie te stellen, kan worden nagegaan of er sprake is van een relevant gegeven. Zoals nog zal blijken is voor het nemen van besluiten over risico’s, volledige informatie noodzakelijk evenals de interpretatie van die informatie door de verantwoordelijke probleemeigenaren.

Dreigingen naar aard De meest voorkomende verdeling van dreigingen is die naar de aard of de oorzaak. De indeling zegt dan dat de oorzaak ligt in de natuur of in het gedrag van de mens. Deze indeling kan nog worden gecombineerd met een verdeling naar ongeluk of toeval en opzet. Van natuurlijke dreigingen kan alleen sprake zijn in de vorm van een ongeluk of fout waarbij van opzet geen sprake is.

11

“Van EDP naar ICT: op de gens van een millennium”. Vier rapporten op basis van een onderzoek onder grote en middelgrote Nederlandse organisaties. 12 New Scientist, 18 May 1996 13 Geciteerd door mr. V.A. de Pous in zijn rubriek Wet & Recht in Informatie, juni 1996

13


Bron dreiging

Toeval

Opzet

Natuur

Acts of god

NVT

Mens

Fouten

Sabotage

In de categorie ongeluk worden over het algemeen die bedreigingen verstaan die ook wel worden aangeduid als act of God zoals brand en natuurrampen. Ook worden er de fouten toegerekend die door medewerkers worden gemaakt. Daarbij kan het begrip medewerker breed worden opgevat. Iemand die in opdracht van de organisatie bijvoorbeeld herstelwerkzaamheden uitvoert, kan ook fouten maken die tot de ongelukken moeten worden gerekend. Ook de fouten, breuk en disfunctioneren van apparatuur valt onder het begrip ongeluk. Wanneer sprake is van opzettelijk gedrag van mensen, dan kan worden gedacht aan sabotage. Hierbij kan de veroorzakende mens weer een medewerker zijn maar ook een buitenstaander. In de volgende figuur wordt een relatie gelegd tussen de elementen van informatiebeveiliging en dreigingen die (on)opzettelijk een inbreuk kunnen veroorzaken14: Malicious

Accidental

Espionage, Leaks

Oversights, Breaches Safety

Threats to Integrity

Fraud, Mischief

Errors, Failures

Threats to Availability

Sabotage, Vandalism Theft

Breakdowns

Threats to Fraud Confidentiality Fraudincreasing increasing with withrestructuring restructuring &&economic economicpressures pressures Increasing Increasing sophistication sophistication of ofviruses, viruses, hacker hackergroups, groups, involvement involvement organised organisedcrime crime Theft Theftof ofnotebooks notebooks

Safety critical critical systems systems cause cause concern concern

Information Information“warfare” “warfare”

Specifieke en algemene dreigingen Bedreigingen kunnen een effect hebben op IT-hulpmiddelen of de daardoor ondersteunde processen. Het effect van een bedreiging op IT-hulpmiddelen is vaak hetzelfde als voor nietIT-hulpmiddelen. Brand bijvoorbeeld heeft op een computer hetzelfde effect als op een productiemachine, namelijk het effect van vernietiging.

14

Mr. P van Dijken in een lezing voor de KPMG EDP Audit Conference, Barcelona november 1997. Een bewerking hiervan is opgenomen in Compact, tijdschrift EDP-Auditing 1998/3

14


Specifieke bedreigingen die op de IT betrekking hebben, bestaan uitsluitend door de aanwezigheid van IT-hulpmiddelen. Deze vormen voor het optreden van de bedreiging vaak zelfs een voorwaarde. Het nut van dit onderscheid kan worden gevonden in de verantwoordelijkheid voor maatregelen. Indien in de analyse alleen rekening kan worden gehouden met bedreigingen die specifiek zijn voor IT, dan zal de analyse niet alle gevolgen voor de IT kunnen omvatten. Hierdoor wordt het inzicht dat door de analyse kan worden verkregen beperkt. Het is daarom verstandig bij het selecteren van bedreigingen voor een risicoanalyse te letten op de mogelijke effecten van de bedreigingen. Aard bedreiging

Effect op Algemene

IT

hulpmiddelen

hulpmiddelen

Algemeen

?

kan

IT Specifiek

kan

steeds

Fysieke en niet-fysieke dreigingen Een andere indeling van dreigingen is die naar fysieke en niet-fysieke. De reden voor deze indeling is de relatie met de gevolgen die de dreiging kan veroorzaken, namelijk de vernietiging van waarden. Voorbeeld van een dergelijke indeling: Fysiek algemeen (vernietiging van een deel der waarde waarschijnlijk) 1. Brand 2. Wateroverlast 3. Sabotage 4. Diefstal 5. Vandalisme

15


Niet-fysiek algemeen (vernietiging onwaarschijnlijk) 6. Stroomstoring 7. Personeelsverlies 8. Apparatuurfouten 9. Fraude Niet-fysiek algemeen en IT specifiek (vernietiging onwaarschijnlijk) 10. Programmatuurfouten 11. Invoerfouten 12. Ongeautoriseerde ontsluiting van gegevens

Dreigingen voor de reputatie Op grond van geheel andere overwegingen kunnen weer andere indelingen ontstaan. Als voorbeeld nemen we het geval van bedreigingen die kunnen leiden tot het aantasten van de reputatie (het imago) van een bedrijf.15 Daarvoor kunnen de volgende voorbeelden gelden: 1. Natuurramp: bliksem treft vliegtuig, boorplatform geraakt door aardbeving. 2. Fouten van de mens: vliegtuigongeval door fout piloot, olievervuiling door fout bij productie. 3. Ontwerp-, productie-, verpakkingsfouten: in de media verschijnen regelmatig waarschuwingen voor producten die een mankement vertonen en oproepen om deze terug te brengen naar de winkel. 4. Product sabotage door consumenten-, politieke of andere groepen. 5. Bedrijfsspionage: het lekken van informatie, bewust of onbewust, opzettelijke spionage. 6. Berichtgeving in de media: bewuste verspreiding van een verkeerde voorstelling van zaken of door slechte kennis van zaken veroorzaakt.

15

Zie bijvoorbeeld: Peter Sheldon Green “Reputation Risk Management”, Pitman publishing, 1992 London

16


Oorzaak en gevolg Afhankelijk van de vraag in welke mate men de relatie tussen oorzaak en gevolg wil analyseren, kan in een risicoanalyse meer of minder gedetailleerd worden ingegaan op verschillende dreigingen. Om hier een praktisch illustratie van te geven wordt het volgende voorbeeld geïntroduceerd: Voorbeeld van dreigingen Bij het gebruik van moderne netwerkverbindingen wordt veelal rekening gehouden met de dreiging dat ongeautoriseerde personen trachten toegang te krijgen tot de ICT infrastructuur van de eigen organisatie. Meestal wordt deze dreiging aangeduid met: Hacking. Soms wordt evenwel ook het mogelijke gevolg van de poging tot hacking als dreiging genoemd, zoals bij “Uitval van diensten” (denial of services) hetgeen het resultaat kan zijn van overmatig berichtenverkeer (overigens ook van geautoriseerde personen). Poging tot het verkrijgen van toegang

Mogelijke gevolgen

1. Vormen van onbevoegde toegang

Overnemen van de autoriteit over (delen van) de infrastructuur

2. Kwaadaardige programmatuur

Diefstal, openbaarmaking of vernietiging van data en/of programmatuur

3. Acties gericht op uitval van diensten

Uitval van diensten

Ad 1: onbevoegde verschijningsvormen:

toegang

kan

optreden

in

de

volgende

(combinaties

van)

‘Brute force’, het gebruik van hulpmiddelen, zoals kraakprogramma’s, om toegang te verkrijgen. Ook het systematisch afbellen van telefoonnummers (‘war-dialing’) valt onder deze techniek. ‘Sniffing’, het afluisteren van communicatieverkeer met als doel om waardevolle informatie te onderscheppen. ‘IP-spoofing’, het omzeilen van de authenticatie op basis van IP-adressen door het creëren van pakketten met gefingeerde IP-adressen. ‘Security flaws and bugs’, tekortkomingen in de systeemen beveiligingsprogrammatuur van computersystemen, waarvan derden gebruik maken om toegang tot systemen te verkrijgen; ‘Highjacking’, het (tijdelijk) overnemen van een besturing van een computersysteem en het uitvoeren van schadelijke activiteiten gedurende deze periode.

17


Ad 2: kwaadaardige programmatuur kan optreden in de volgende (combinaties van) verschijningsvormen: ‘Computervirus’, programmacode die zich via kopiëren verspreidt en op vooraf bepaalde tijdstippen en/of condities schadelijke acties uitvoert. ‘Trojan horse’, gebruik van een computerprogramma dat normaal kan worden toegepast maar gedurende de toepassing of op een later, door de maker bepaald, moment vernietigend werk doet. ‘Logical bom’, een op het computersysteem geïnstalleerd programma die op vooraf bepaalde tijdstippen en/of condities schadelijke acties uitvoert. ‘Nukers’, programma’s die adreslabels van pakketjes veranderen. Hierdoor raakt de besturing in de war als het totaal van de adreslabels niet klopt. ‘Web-agents’, programmatuur die zelfstandig ten behoeve van de eigenaar bruikbare informatie op het Internet opzoekt. Ad 3: de volgende acties kunnen leiden tot (tijdelijk) uitval van computer diensten door overbelasting van het netwerk: ‘Buffer overflow’, het beïnvloeden van de opslag van gegevens en programmatuur in het geheugen van het computersysteem met als doel de werking van dit systeem te ontregelen. ‘Spamming’, het laten vollopen van mailboxen door overvloedige (niet gewenste) berichten. ‘Flaming’, het uit de hand lopen van een e-mail discussie waardoor verschijnselen zoals bij ‘spamming’ beschreven optreden. ‘Hoaxes’, (on)terechte waarschuwingen via e-mail, bijvoorbeeld voor virussen die veel worden doorgestuurd en daardoor het netwerk onnodig belasten. ‘Ping flood’, het sturen van een groot aantal controleberichten (‘ping’) naar het targetsysteem. ‘SYN flood’, het doen van een groot aantal pogingen voor het opzetten van een verbinding, waardoor connectietabellen vollopen. ‘smurf attack’, misbruik maken van broadcastadressen met als doel massaal netwerkverkeer te genereren.

Parameters Dreigingen worden beschreven door hun parameters. De frequentie (hoe vaak treedt de dreiging op?) is daarvan een bekend voorbeeld. Andere parameters zijn de duur van de dreiging of de omvang van het optreden. Voorbeelden hiervan zijn: wateroverlast: hoeveelheid water;

18


stroomstoring: lengte van de periode; fouten: tijd nodig om de fout op te sporen en te herstellen. Statistische gegevens zijn beperkt beschikbaar omdat alleen de algemeen en regelmatig optredende dreigingen worden geregistreerd. Bovendien vindt registratie niet systematisch plaats. Als gevolg daarvan wordt vaak met benaderingen of aannames gewerkt. Ook is het mogelijk met kwalitatieve aanduidingen te werken als: “Grote kans” en “Kleine kans”.

Opdracht 1: bedreigingen van e-mail Bedreigingen 1 t/m 17 vanuit de optiek van de Zender. Legenda: V = Vertrouwelijkheid, I = Integriteit, B = Beschikbaarheid Nr.

Bedreiging

1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13.

Vertraging in transport van berichten Verlies van een bericht Verkeerde bezorging Ongewenste wijziging van de berichtinhoud Technische verminking van een bericht Vermenigvuldigen van een bericht Ongewenste kennisname berichtinhoud Transport mislukt Ontvangst geweigerd Ontkenning van ontvangst (door de ontvanger) Identiteit ontvanger onbekend Uitvallen van faciliteiten Bewijskracht elektronische handtekening juridisch niet erkend Inhoud bericht juridisch niet beschermd door briefgeheim Misbruik van e-mail door aanname valse identiteit Onbevoegde kennisname berichtenstroom (route en aantal berichten) Onterecht claimen van bericht ontvangst

14. 15. 16. 17.

Beveiligingsaspect (V\I\B)

Vragen: 1. Geef in de betreffende kolom voor iedere bedreiging aan of er een relatie is met het beveiligingsaspect: V = Vertrouwelijkheid, I = Integriteit, B = Beschikbaarheid. 2. Maak een opstelling van de bedreigingen vanuit het gezichtspunt van de ontvanger.

19


3. Geef uw antwoord/commentaar op de volgende vragen van de directie:

3.2

-

“Wat is het mogelijke gevolg van het ontvangen van meer e-mailberichten dan we kunnen verwerken?”

-

“Wat is het mogelijke gevolg van het escaleren van een discussie tussen twee gebruikers van e-mail?”

Gevolgenanalyse De bedrijfsprocessen Voor een risicoanalyse is een bedrijfsproces een centraal begrip. Het zijn de bedrijfsprocessen waarvoor de organisatie is opgericht. Daarom zal gelden dat onderbreking van de operationele voortgang van deze processen een risico vormen. In de risicoanalyse zal moeten worden bepaald welke werkzaamheden voor het te analyseren gedeelte van de organisatie als bedrijfsproces worden geselecteerd. Een bedrijfsproces kenmerkt zich door de volgende elementen:

In een risicoanalyse zullen de risico's worden beoordeeld die in kunnen werken op de invoer, de transformatie en de uitvoer. Daarbij kan worden aangenomen dat de invoer en de uitvoer fysieke zaken zijn die het proces gaande houden. Zo zal een productieproces afhankelijk zijn van de aanvoer van grondstoffen en energie om de machines in staat te stellen de productie daadwerkelijk uit te voeren (transformatie van grondstof naar eindproduct). De uitvoer (het eindproduct) is weer een voorwaarde voor de volgende schakel in de activiteit, bijvoorbeeld de verkoop (transformatie van product van magazijn naar klant). De invoer en de uitvoer zullen in de risicoanalyse als bedrijfsmiddel worden beschouwd. Zij kunnen beiden door bedreigingen worden vernietigd. De transformatie (of een combinatie van meerdere transformaties) zal in de risicoanalyse als proces worden beschouwd. Daarbij gaat het dan vooral om de gevolgen die ontstaan voor de organisatie in het geval waarin het proces uitvalt of de uitvoer om enige reden niet voldoet aan de met de afnemer afgesproken hoedanigheid.

20


Het onderscheiden van bedrijfsprocessen betekent een keuze doen voor één of meer transformaties. In het hierboven gegeven voorbeeld kunnen de volgende keuzen worden gedaan: de activiteit leveren van goederen; de activiteit productie; de activiteit verkoop. Daarbij wordt dan aangenomen dat de inkoop van de grondstoffen óf niet wordt beschouwd in de analyse, óf als deel van één van de geselecteerde processen wordt beschouwd. Soorten bedrijfsprocessen die kunnen worden onderscheiden zijn: de primaire processen ofwel die processen waaraan de organisatie haar bestaan dankt; de besturende processen die gericht zijn op het doelmatig en doeltreffend doen verlopen van de primaire processen; ondersteunende processen die de voorwaarden scheppen voor het uitvoeren van zowel de primaire als de besturende processen. Deze indeling kan van belang zijn als de afhankelijkheid tussen processen onderling wordt geanalyseerd. De keuze van processen die in een analyse worden opgenomen kan er immers toe leiden dat bepaalde gevolgen van uitval of stilstand niet worden beschouwd. De primaire en ondersteunende processen zullen bij uitval een vermindering van de uitvoer vertonen. Dit geldt niet alleen voor productieprocessen maar ook voor administratieve processen zoals orderverwerking en facturering. Voor besturende processen geldt dat de uitvoer niet steeds zeer concreet kan worden aangegeven waardoor ook het gevolg van het niet-beschikbaar-zijn moeilijk kan worden bepaald. De keuze van een applicatiesysteem als grens voor het te analyseren proces, beperkt het proces tot datgene dat in de geautomatiseerde gegevensverwerking is opgenomen. Er blijven dus delen van het proces in de analyse buiten beschouwing. Hier moet bij de selectie van processen op worden gelet. Meestal worden de werkzaamheden die behoren tot de taak van een afdeling of bedrijfsonderdeel gezien als een proces. Er bestaat dan de neiging het proces te laten samenvallen met een afdeling waardoor de kans bestaat dat niet alle processen worden geanalyseerd. In dat geval dient de “productieketen” kritisch te worden geanalyseerd. Door het geheel der werkzaamheden te splitsen in kleinere delen, kan men inzicht krijgen in de mate waarin de te onderscheiden activiteiten binnen een proces blootstaan aan bedreigingen en in de schade die aan elke activiteit ten gevolge van die bedreiging wordt toegebracht. Hierdoor is een prioriteitstelling mogelijk ten aanzien van het treffen van maatregelen.

21


Soorten gevolgen Om tot een zo nauwkeurig beeld van de mogelijke gevolgen van bedreigingen te kunnen komen, is het aan te bevelen de gevolgen zoveel mogelijk kwantitatief te beschrijven. Daarbij kunnen verschillende categorieën worden onderscheiden: 1. vernietigingsschade; 2. vertragingsschade; 3. herstelschade; 4. verstoringsschade; 5. andere tijdafhankelijke schade; 6. overige gevolgen; 7. niet-gekwantificeerde gevolgen. Ad 1: Vernietigingsschade is de schade die ontstaat als gevolg van beschadiging van hulpmiddelen. Het gaat om directe schade die aanwijsbaar is in de verminderde waarde van het hulpmiddel. Ad 2: Vertragingsschade is de schade die ontstaat als gevolg van een tijdelijk disfunctioneren van een bedrijfsproces. Daarbij kunnen een aantal soorten schade worden onderscheiden: leegloop dit is de situatie waarin het voor het bij een proces betrokken personeel (tijdelijk) onmogelijk is om productieve werkzaamheden te verrichten. Niet-beschikbaarheid van ondersteunende apparatuur is veelal een oorzaak. Voorbeelden zijn naast storingen, de (tijdelijke) beëindiging van de service van een provider door een virus aanval over het overlopen van mailboxen. efficiencyverlies dit is de afname van de doelmatigheid waarmee een proces wordt uitgevoerd als gevolg van het optreden van een bedreiging. overwerk dit betreft het uitvoeren van activiteiten buiten de normale werktijd. achterstallig werk indien de uitvoering van een proces als gevolg van het optreden van een bedreiging niet kan plaatsvinden. inhuurkrachten hieronder wordt verstaan personeel van derden dat, meestal tijdelijk en onder speciale voorwaarden, wordt aangetrokken, bijvoorbeeld om achterstallig werk in te halen of overwerk van eigen personeelsleden te voorkomen.

22


Ad 3: Herstelschade wordt gevormd door de werkzaamheden die moeten worden uitgevoerd om het bedrijfsproces terug te brengen in de status die het had ten tijde van het optreden van de dreiging. Ad 4: Verstoringsschade is de schade die ontstaat doordat het proces nadat dit is hersteld, gedeeltelijk opnieuw moet worden uitgevoerd, bijvoorbeeld om verloren transacties opnieuw in te voeren. Ad 5: Andere tijdafhankelijke schade wordt gevormd door schades die ontstaat doordat het proces een bepaalde tijd niet beschikbaar is. Een voorbeeld is een boete voor te laat leveren. Ad 6: Overige gevolgen kunnen betrekking hebben op schades die niet direct aan de tijdsduur van de vertraging zijn gekoppeld. Voorbeelden zijn imago schade en klantverlies. Ad 7: Niet-gekwantificeerde gevolgen zijn de schades die weliswaar denkbaar zijn maar waarvoor de eigenaar van het proces geen concreet bedrag kan of wil verbinden. Teneinde deze begrippen te verduidelijken wordt het volgende voorbeeld beschreven: Stel dat in het papiermagazijn van een bedrijf brand uitbreekt. Door het ontbreken van adequate brandblussers lukt het niet om de brand snel onder controle te krijgen. Ook het risicogebied computercentrum wordt door de brand getroffen. De fysieke schade die in dit risicogebied is toegebracht wordt aangeduid met de term vernietigingsschade. Het geautomatiseerde gegevensverwerkende systeem crediteurenadministratie, dat met behulp van de computer wordt uitgevoerd, moet opnieuw worden geïnstalleerd en er moet een back-up worden gehaald. Dat vergt tijd en mankracht die als kosten kunnen worden opgevat. Deze kosten worden herstelwerk genoemd. Als gevolg van de brand kan de tijd, die reeds besteed was aan de activiteit crediteurenadministratie voordat de brand zich voordeed, als verloren tijd worden beschouwd. Men moet immers een aantal werkzaamheden opnieuw uitvoeren. De kosten die hiermee gepaard gaan kunnen worden aangeduid met de term verstoringsschade. Na de brand verstrijkt er een tijd voordat het computercentrum hersteld is. Dit betekent dat de activiteit crediteurenadministratie enige tijd niet op de gebruikelijke manier kan worden uitgevoerd en dat vertraging ontstaat. Tijdens die vertragingsperiode ontstaan allerlei kosten die worden aangeduid met de term vertragingsschade. In dit voorbeeld zouden als kosten genoemd kunnen worden: kosten als gevolg van onbenutte tijd van personeel (leegloop); kosten als gevolg van minder efficiënt kunnen werken (efficiencyverlies); kosten van overwerk.

23


Deze kosten zijn afhankelijk van de lengte van de periode dat de vertraging zich voordoet. Hoe langer de vertraging voortduurt hoe hoger de vertragingsschade. De bedreiging kan tenslotte nog gevolgen veroorzaken waarvoor bepaalde activiteiten specifiek kwetsbaar zijn. Een voorbeeld hiervan is het imagoverlies dat het bedrijf lijdt als de crediteuren-administratie lange tijd stil ligt. Deze laatste kosten worden aangeduid met de term overige gevolgen. In het algemeen zal het gevolg van een uitval niet specifiek kunnen worden gerelateerd aan één bedreiging. De oorzaak of reden van de uitval doet dan voor de bepaling van de gevolgen niet terzake. Voorbeelden van dergelijke relaties zijn: bedreigingen van primaire processen: -

productieschade door opzettelijke (of onopzettelijke) foute handeling, storing van apparatuur, storing in energie of conditionering;

-

bedrijfsongevallen door foute grondstof, verkeerd recept, onvoorzichtigheid, niet naleven van voorschriften;

bedreigingen van besturende processen: -

verstoring van de bestuurde activiteit door verkeerde beoordeling, verkeerde beslissing, menselijke fouten, verkeerde (onvolledige informatie);

-

fouten in contracten, budgetten, planningen.

Het is voor de juiste interpretatie van de resultaten van een risicoanalyse nodig zoveel mogelijk de juiste relatie tussen de bedreigingen en de gevolgen te bepalen. Daarbij kan het helpen de bedreigingen als groep (categorie) te zien. Bijvoorbeeld de categorie 'fouten'. Aangenomen mag worden dat de effecten van fouten (menselijk of machinaal) sterke overeenkomsten vertonen. Indien activiteiten specifiek zullen reageren op bedreigingen zal dat in de analyse tot uitdrukking moeten worden gebracht.

Het identificeren van objecten en subjecten In de risicoanalyse zal een afbakening plaatsvinden met betrekking tot de bedrijfsmiddelen en bedrijfsprocessen die in de analyse worden betrokken. Het is niet noodzakelijk alles tegelijk in één analyse te betrekken. Het selecteren van die zaken waarvan de risico's belangrijk worden geacht, vindt plaats aan de hand van de probleemstelling die het uitgangspunt is voor de analyse. Het gaat er dus om de juiste identificatie toe te passen bij de selectie die wordt uitgevoerd. Daarbij zal een wisselwerking plaatsvinden tussen de afbakening van de processen en de hulpmiddelen. De gemaakte keuze zal de mogelijkheid om de oorspronkelijke probleemstelling te beantwoorden, sterk beïnvloeden.

24


De objecten Hieronder worden die hulpmiddelen verstaan die voor een ongestoorde uitvoering van de processen noodzakelijk zijn. Bij toepassing van de risicoanalyse op de geautomatiseerde gegevensverwerking kan hierbij worden gedacht aan de computer, de tapekluis, terminals en de kantoorruimte. In het algemeen gaat het dus om de bedrijfsmiddelen die worden gebruikt bij de realisatie van de bedrijfsdoelen. Daarmee is al meteen de relatie gegeven met de bedrijfsprocessen die door de bedrijfsmiddelen worden ondersteund. Tot de bedrijfsmiddelen kunnen worden gerekend: de hardware; de software; de gegevens; de omgeving waarin de hulpmiddelen staan opgesteld en worden gebruikt. De schade die voor de objecten wordt berekend bestaat uit vernietigingsschade. Door het groeperen van hulpmiddelen naar soort wordt het mogelijk uitspraken te doen over het belang van het hulpmiddel voor de organisatie. Het gaat er daarbij vooral om, inzicht te krijgen in de mate waarin de hulpmiddelen van belang zijn voor de continuïteit, betrouwbaarheid en exclusiviteit van de geautomatiseerde gegevensverwerking. Een mogelijke indeling is: toepassingssystemen, zelf ontwikkeld en gekocht; ondersteunende software van leverancier; hardware, alle relevante componenten; technische voorzieningen; gegevensbestanden; documenten. Bedreigingen worden in het algemeen geacht op een ruimte in te werken en niet op de individuele hulpmiddelen. Hierdoor kan rekening worden gehouden met een mogelijke spreiding van de gevolgen over meerdere hulpmiddelen die in één ruimte staan opgesteld. Daarom worden de hulpmiddelen gegroepeerd naar gebieden. Het doel van een indeling van de selectie van gebieden is gelegen in de mogelijkheid inzicht te krijgen in de mate waarin de onderscheiden delen van de totale ruimte blootstaan aan bedreigingen. Het optreden van bedreigingen behoeft immers niet steeds alle gebieden tegelijkertijd te treffen. Bovendien kunnen, onder andere bij de kosten-batenanalyse, prioriteiten worden toegekend aan het treffen van maatregelen per gebied.

25


Onder een gebied wordt verstaan: een fysiek gedeelte van het gebouw/terrein of van de gebouwen/terreinen, die in een analyse worden beschouwd. Een dergelijk gedeelte kan: bestaan uit één fysieke ruimte, bijvoorbeeld het gebied papiermagazijn in de kelder; bestaan uit een groep fysieke ruimten, die niet noodzakelijkerwijs aan elkaar behoeven te grenzen; hierbij valt te denken aan een gebied voorraadtanks; bestaan uit een gedeelte van een fysieke ruimte, zoals het gebied front-end processor, waarbij dit apparaat staat opgesteld in een computerzaal tezamen met andere apparatuur. Bij het definiëren van gebieden is het aan te bevelen deze te laten samenvallen met de processen die worden geselecteerd voor de risicoanalyse. Op deze manier worden de gebieden de fysieke plaatsen waar één of meerdere processen geheel of gedeeltelijk worden uitgevoerd. Hierbij moet wel worden bedacht dat het geen zin heeft gebieden te ver op te splitsen. Zo kunnen bijvoorbeeld ruimten waarin systeemanalisten en/of programmeurs werken, tot één gebied worden samengevoegd.

De subjecten Tot de subjecten die een rol spelen in de risicoanalyse behoren in de eerste plaats de medewerkers van de organisatie. Onder deze medewerkers wordt verstaan: het eigen personeel; het niet-eigen personeel; de diensten van derden. In de risicoanalyse worden deze functionarissen betrokken doordat zij bij het verzamelen van gegevens een rol spelen, zoals bij het waarderen van bestaande maatregelen. Ook kunnen zij de oorzaak van een bedreiging zijn (fouten, personeelsverlies) of het onderwerp van de negatieve gevolgen. Daarbij wordt geen rekening gehouden met letsel en de gevolgen daarvan. Alhoewel die vorm van schade kan worden gekwantificeerd, wordt aanbevolen deze buiten beschouwing te laten. Een bijzondere rol is die welke tijdens of na het optreden van een bedreiging moet worden gespeeld. Zo zullen bepaalde functionarissen worden gevraagd fouten te herstellen of andere werkzaamheden te verrichten die ontstaan uit het optreden van een bedreiging.

Vernietigingsschade De schade die kan optreden bij objecten wordt aangeduid als vernietigingsschade. Meestal wordt die uitgedrukt als een percentage van de waarde die het object heeft op het moment waarop de dreiging zich manifesteert.

26


Het begrip waarde heeft niet overal dezelfde betekenis. Voor de risicoanalyse is het van belang de waarde die aan de bedrijfsmiddelen worden toegekend, op een eenduidige wijze vast te leggen. Dat betekent dus dat voor de waardebepaling dezelfde grondslag wordt gebruikt voor alle bedrijfsmiddelen.

Vernietigingsreikwijdte Bij het optreden van gebeurtenissen worden in het algemeen niet alle gebieden of processen tegelijkertijd getroffen. De trefkans wordt sterk bepaald door de fysieke afstand tussen de gebieden onderling. Voor de vernietiging van processen geldt dat de trefkans overeenkomt met die van de gebieden waarin de hulpmiddelen staan opgesteld. De vernietigingsreikwijdte wordt opgegeven bij de bedreigingen en wel voor die bedreigingen die tot vernietiging kunnen leiden. Over het algemeen kan als vuistregel worden gesteld dat de trefkans als percentage wordt bepaald door het aantal gebieden dat in de analyse wordt betrokken, te delen op 100.

Voorbeeld Bij vier gebieden zal de vernietigingsreikwijdte voor de bedreiging brand 25% bedragen indien de vier gebieden voldoende gespreid zijn. Per bedreiging kan dit percentage overigens verschillend zijn.

Vernietigingspercentage Voor iedere bedreiging zal moeten worden bepaald welk deel van de bedrijfsmiddelen in een bepaald gebied kan worden getroffen. Niet voor alle gebieden geldt bijvoorbeeld dat bij diefstal alle middelen zullen worden meegenomen. Een mainframe uit een computercentrum wegnemen is minder aannemelijk dan het meenemen van een modem of een personal computer. Door een percentage aan te geven van de waarde die per bedreiging kan worden getroffen in het gebied, wordt de specifieke vernietigingsschade zo goed mogelijk benaderd. Opdracht 2: bepaal de mogelijke gevolgen Bepaal de (soorten) van kosten die kunnen optreden als een helpdesk voor klantenservice gedurende 4 uren niet bereikbaar is voor klanten. Omdat de “eigenaar” van de helpdesk niet beschikbaar is kunnen ook vragen worden geformuleerd die de kosten helpen bepalen.

27


4

Maatregelen Maatregelen kunnen worden getroffen om dreigingen te voorkomen (preventie) of de gevolgen ervan te verminderen (repressie). Om te komen tot een goede afweging van mogelijke (extra) maatregelen zal eerst inzicht in de doeltreffendheid van de bestaande maatregelen beschikbaar moeten zijn. Bovendien is inzicht nodig in de relatie die bestaat tussen de dreiging en de maatregel. Brandpreventie is bijvoorbeeld, zoals bekend, niet geschikt voor het tegen gaan van storingen in apparatuur of programmatuur.

Preventie en repressie Beperken van risico’s is mogelijk door het optreden van de dreiging te verminderen. Dergelijke maatregelen worden preventief genoemd. Voorbeelden zijn het uitvaardigen van een rookverbod om de kans op brand te verkleinen, het testen van programmatuur zodat fouten niet pas blijken als de programmatuur al in gebruik is genomen, het niet toelaten van datacommunicatie teneinde hackers geen kans te geven. Een andere manier om risico’s te beperken is het treffen van repressieve maatregelen. Deze zijn er niet op gericht de dreiging te voorkomen, maar trachten de schade als gevolg van het optreden van de dreiging te verminderen. Voorbeelden zijn brandblusapparatuur, documentatie van programmatuur zodat bij gebleken fouten snel kan worden ontdekt waar de fout ontstaat, controles op datacommunicatie zodat mogelijke hackers snel worden gedetecteerd.

Soorten maatregelen De keuze voor maatregelen die ten doel hebben bepaalde bedreigingen tegen te gaan, wordt vaak beïnvloed door het gemak waarmee de maatregel kan worden ingevoerd. Daarom hebben materiële voorzieningen de voorkeur. De werking van sloten en grendels is evident. Echter, het daadwerkelijk gebruik ervan vergt discipline en inzicht. Dat maakt dat de organisatorische regelingen vaak ontbreken of niet voldoende worden nageleefd. Maatregelen kunnen worden onderscheiden naar: technisch/electronisch; bouwkundig; organisatorisch.

28


Vaak zullen maatregelen een mengvorm zijn van deze drie soorten. Met name de organisatorische maatregelen dienen de technische en bouwkundige aan te vullen. De werkzaamheid van maatregelen wordt juist door de combinatie vergroot. Een voorbeeld: Bouwkundige maatregel

Organisatorische maatregel

Opzet van het bouwplan

Controles Vastleggen van de verantwoordelijkheden

Routes voor vluchtwegen

Controles Onderhoud en inspectie Wijzigingsbeheer

Brandwerendheid van de materialen

Controles Onderhoud en inspectie

Keuzen betreffende deze maatregelen worden gedeeltelijk vóór het bouwen, maar gedeeltelijk ook tijdens en na de realisatie van de bouw gemaakt. Voor de beoordeling van alle bestaande maatregelen kan daarom beter gebruik worden gemaakt van een indeling naar beveiligingsonderwerp. Uit een onderzoek van Price Waterhouse in 1990 bij 500 Britse bedrijven blijkt de volgende verhouding tussen kosten en baten van soorten van maatregelen. Soort Maatregel

Kosten

Effectiviteit

Bouwkundig

41%

17%

Technisch/electronisch

42%

3%

Organisatorisch

17%

80%

De suggestie die door dit overzicht wordt gewekt is dat de vaak goedkopere organisatorische maatregelen het meest doeltreffend zijn. Dat zal vooral het gevolg zijn van de combinatie van maatregelen. Bouwkundige en technische maatregelen worden pas werkzaam als er procedures en voorschriften zijn gemaakt voor de naleving en instandhouding ervan.

29


Het meten van de doeltreffendheid De doeltreffendheid of kwaliteit van maatregelen kan op verschillende manieren worden vastgesteld. Audit is een algemeen begrip voor het beoordelen van situaties. Aan de hand van een checklist of beschikbare deskundigheid (professional judgement) wordt nagegaan wat de kwaliteit van de maatregelen is. Daarbij kan gebruik worden gemaakt van interne of externe functionarissen. Bepalend voor de uitkomsten van de audit zijn de checklists die impliciet of expliciet worden toegepast. Een impliciete checklist wordt alleen door een deskundige gebruikt. Een expliciete checklist kan ook door de 'beoordeelde' afdeling of functionaris worden ingezien of zelfs worden ingevuld. Daarbij kan de checklist de rol van leermiddel vervullen want tijdens het beantwoorden van de vragen zal het inzicht in de materie groeien. Het bewustzijn voor beveiliging wordt door dergelijke checklists gestimuleerd. Daarom worden deze vragenlijsten ook wel als "self assessment" toegepast. Naast de feitelijke vaststelling van de kwaliteit van maatregelen aan de hand van een checklist kan het oordeel van een kritische buitenstaander nuttig zijn. Deze zal door inspectie en feitelijke controle een oordeel vellen over de opzet, het bestaan en de werking van de maatregelen. Beide beoordelingen kunnen elkaar ook goed aanvullen. Een eerste invulling door de betrokkene en een tweede oordeel door een buitenstaander. Doelstelling is immers een goed beeld te krijgen van de waarde van de maatregelen voor het voorkomen van het optreden van dreigingen of de beperking van schade. Bij het beoordelen van de kwaliteit van maatregelen zal de hele opzet van het stelsel van maatregelen worden beoordeeld, de individuele maatregelen en de wijze waarop de maatregelen zijn ingevoerd. Ook het voorkomen van gebreken, het bewustzijn, de opleiding en het naleven zijn onderwerpen die bij de waardering een rol spelen. De naleving van maatregelen, tegenwoordig veelal aangeduid met compliance testing, neemt in belang toe naarmate een directer verband kan worden gelegd met aansprakelijkheid voor schades als gevolg van het niet navolgen van maatregelen. In dit verband kan naar de Code voor Informatiebeveiliging worden verwezen. De reeds bestaande beveiligingsmaatregelen binnen een organisatie kunnen worden verdeeld in twee categorieën waarvoor een waardering moet worden gegeven: Preventieve maatregelen Dit zijn maatregelen die erop zijn gericht het optreden van ongewenste gebeurtenissen te voorkomen. Een voorbeeld: storing voorkomen door onderhoud van apparatuur. Repressieve maatregelen Dit zijn maatregelen die erop zijn gericht de omvang van de schade te beperken, nadat een ongewenste gebeurtenis heeft plaatsgevonden. Een voorbeeld: handbrandblussers.

30


Per maatregel zal dus moeten worden bepaald of van een preventieve maatregel, een repressieve of een combinatie sprake is. In de literatuur wordt ook wel een categorie: “correctieve maatregelen” onderscheiden. Deze maatregelen zijn bedoeld om de “situatie die voor het manifest worden van de oorzaak gold, te reconstrueren”16. Omdat dergelijke correctieve maatregelen ook kunnen worden opgevat als preventie (voor de volgende keer) of repressie (voor de opgetreden situatie) is het voor risicomanageent niet noodzakelijk een verdere verfijning in maatregelen aan te brengen. Datzelfde argument geldt voor de groep zogenaamde “detectie maatregelen” die wel eens wordt onderscheiden. Het detecteren van een dreiging is immers niet meer dan het trachten te voorkomen van (meer) schade en dus als repressie op te vatten.

Relatie tussen dreiging en maatregel Het optreden van incidenten is een test voor de kwaliteit van reeds getroffen maatregelen. Doeltreffende maatregelen zullen het incident verhinderen of de schade beperken. Hoe kan dat worden aangetoond? Er zal een goede incidentenregistratie moeten plaatsvinden om te kunnen beoordelen welke gebeurtenis heeft plaatsgevonden. Daarbij zal ook de schade die is ontstaan moeten worden bepaald. Vervolgens kan worden bezien of de voor dat incident geïmplementeerde maatregelen ook daadwerkelijk het beoogde effect hebben gehad. De kracht van maatregelen kan op die manier worden beproefd. Veel voorkomende incidenten zoals fouten door mensen, kunnen vaak worden tegengegaan door verbetering van opleiding, toezicht en het bespreken van de oorzaken. Dergelijke maatregelen hebben een positief effect op het optreden van incidenten (vermindering) en dus de kosten (schade) daarvan. Ook voor niet vaak optredende incidenten is dat mogelijk, zij het niet altijd door de organisatie zelf door het gebrek aan voldoende gegevens. Welke posten worden bij de inventarisatie van de schade betrokken? Omdat dit achteraf wordt gedaan, zou de berekening nauwkeurig kunnen zijn. Daartegenover staat dat de meeste administraties niet zijn ingericht om de aan incidenten verbonden schades te meten. Alleen in het geval dat een claim bij de verzekeraar kan worden ingediend, zal een nauwkeurige onderbouwing van de schade worden gemaakt.

16

Jan van Praat en Hans Suerink: Inleiding EDP-auditing, Kluwer 1994

31


Voorbeeld In een grote organisatie werden kort achter elkaar een aantal pc’s ontvreemd. Het opvallende was dat de daders wisten waar ze moesten zoeken want het ging om een speciale pc die slechts door een beperkt aantal medewerkers werd gebruikt. Maar uitsluitend op kamers waar deze medewerkers zaten werden de kasten opengebroken. Dat lijkt te wijzen op “voorkennis”. In ieder geval was de security officer nieuwsgierig naar de kosten van de diefstal. De analyse van deze kosten viel niet mee. Op veel gebieden bleken de kosten niet te kunnen worden bepaald omdat de administratie/registratie daarvoor niet geschikt was. De schade aan deuren en kasten gaf aan of gebruik gemaakt is van deugdelijk sluitwerk en of gedisciplineerd werd afgesloten. Gemiste werktijd was al weer moeilijker te bepalen. Evenals het achterhalen van de schade door het verlies van gegevens. Het is dus niet eenvoudig op grond van ervaring een relatie te leggen tussen een maatregel en de dreiging(en) waarop deze is gericht. Toch zal deze relatie een belangrijke rol spelen bij de bepaling van mogelijke acties. Bij de besluitvorming rond risicoanalyse, zal de relatie weer terug komen.

Voorbeelden van relaties Onderstaande opsomming (ontleend aan de Code voor Informatiebeveiliging) geeft de beveiligingsonderwerpen die voor de beveiliging van IT relevant kunnen zijn. Er wordt vanuit gegaan dat alle maatregelen die binnen de genoemde onderwerpen aan de orde komen, een preventieve en/of repressieve invloed kunnen hebben op één of meer bedreigingen.

1. Organisatie Het onderwerp organisatie bevat alle noodzakelijke maatregelen die door de leiding van een organisatie moeten worden getroffen. Zo zal er een beleid moeten zijn voor de beveiliging van informatie inclusief de doelen die daarmee bereikt dienen te worden. Het beleid zal bekend moeten zijn in de organisatie en actueel moeten worden gehouden. De verantwoordelijkheid voor beveiliging, zowel voor de specialisten als voor de gebruikers van IT, zal moeten zijn vastgelegd en door betrokkenen geaccepteerd. In samenhang met de functie zullen de beveiligingsmaatregelen moeten kunnen worden uitgevoerd. Dat betekent dat functiebeschrijvingen moeten worden getoetst op aspecten van informatiebeveiliging. Tenslotte zal controle van de werking en naleving van de maatregelen moeten plaatsvinden. Compliance is een onderwerp dat door de Code voor Informatiebeveiliging wordt benadrukt omdat de Code juist bedoeld is om aan leveranciers en afnemers zekerheid te verschaffen over de wijze waarop de organisatie omgaat met de gegevens van derden.

32


2. Personeel Het onderwerp personeel omvat alle maatregelen die noodzakelijk zijn bij het aannemen van nieuw personeel. Het nagaan van de authenticiteit van diploma’s en cijferlijsten is een voorbeeld hiervan. Aanname maar ook ontslag, is een kritisch punt voor personele maatregelen. Wil men bij aanname zekerheid proberen te krijgen over de inzetbaarheid en betrouwbaarheid van nieuw personeel, bij ontslag dient voorkomen te worden dat bedrijfseigendommen worden meegenomen of later nog kunnen worden toegepast of verkregen. Maatregelen voor de periode van dienstverband omvatten de werkgesprekken, opleiding en instructie die noodzakelijk is om de medewerker ook in beveiligingszaken, optimaal te laten functioneren. Overigens zal bij het opstellen van maatregelen voor personeel moeten worden nagegaan voor welke soorten personeel de maatregelen gelden. Naast het eigen personeel kan ook sprake zijn van tijdelijk personeel, stagaires, personeel van derden, etc.

3. Fysieke beveiliging Bij de fysieke beveiliging van mensen en middelen zijn in de eerste plaats de lokale omstandigheden van belang. Eventuele gevaarlijke activiteiten in de buurt van de locatie en het gebouw, moeten bekend zijn zodat maatregelen kunnen worden overwogen. Toegangsbeheersing is een belangrijke maatregel om te weten wie op de locatie of in het gebouw aanwezig is of mag zijn. Binnen het gebouw kunnen specifieke ruimten worden aangeduid als “kritisch”. Voor deze ruimten kunnen andere, meer strikte, regels worden opgezet om de toegang te beheersen. Bij de beheersing van toegang zal het onderscheid naar eigen personeel en dat van derden (onderhoudspersoneel) van belang kunnen zijn. Tot de maatregelen voor fysieke beveiliging behoren ook inbraakdetectie zoals alarmering, zone- of bewegingsdetectie. Brandbeveiliging behoort ook tot de maatregelen van fysieke beveiliging. Aandacht kan worden gegeven aan de keuze van materiaal en constructie. Brandwerendheid van muren, plafonds, vloeren en deuren zijn voorbeelden. Daarnaast kunnen technische hulpmiddelen worden gebruikt voor de detectie van rook, temperatuur, gassen of andere verschijnselen die kunnen wijzen op brand of een begin daarvan. Ook de bestrijding en blussing van brand vergt maatregelen. Daarnaast kan nog worden gedacht aan regelingen en afspraken voor re-conditionering. Hiermee wordt het schoonmaken bedoeld van apparatuur na brand of bluswerkzaamheden. Door snel ingrijpen kan de schade vaak door re-conditionering aanzienlijk worden beperkt. Een indeling van fysieke maatregelen naar de aard van het bedoelde effect is de volgende17

17

Ontleend aan: Cees Coumou “Fysieke beveiliging” in Handboek EDP Auditing afl 20 (december 2001)

33


Tegen “verslijten” Preventieve maatregelen

Detectie Repressieve maatregelen

Tegen “indringen”

Bestrijden en verminderen

Onder “Verslijten”, wordt verstaan, het afnemen van de effectiviteit van maatregelen door overigens verschillende oorzaken. “Indringen”, bevat alle van buiten komende onheilen. Tegen verslijten kunnen preventief uitsluitend organisatorische maatregelen worden ingezet. Toezicht en onderhoud zijn hierbij de kernwoorden. Tegen indringen kan preventief een keuze worden gemaakt uit bouwkundige, technische en organisatorische maatregelen. In de repressieve sfeer kunnen bouwkundige, technische en organisatorische maatregelen worden ingezet voor het “bestrijden en verminderen”. Detectie is alleen mogelijk met technische en organisatorische maatregelen.

4. Technische voorzieningen Tot de technische voorzieningen behoren airconditioning en de levering van energie waaronder die voor noodstroom. Regelmatig onderhoud heeft een preventieve werking zodat het uitvallen van deze apparatuur wordt beperkt. Contracten voor snel ingrijpen bij uitval van de apparatuur kan een sterke vermindering van eventuele schade tot gevolg hebben.

5. Computers en netwerken Voor alle computers geldt dat reeds bij de aanschaf aan beveiliging van apparatuur moet worden gedacht. Dit geldt zowel voor mainframes, afdelingscomputers als personal computers. Het classificeren van apparatuur geeft de mogelijkheid vast te stellen voor welke apparatuur specifieke (extra) maatregelen nodig zijn. Dat is mede afhankelijk van het gebruik van de apparatuur en de plaats waar deze zal worden opgesteld. Draagbare personal computers zijn bijvoorbeeld extra gevoelig voor diefstal en verlies maar ook voor schade door stoten en vallen. Het beheer van computerapparatuur omvat een aantal voor de beveiliging relevante maatregelen. Inzicht in de status (locatie, wijzigingen, gebruiker, randapparatuur) kan het

34


onderhoud vereenvoudigen. Het voorkomen van storingen en onbevoegd of onjuist gebruik zijn van groot belang. Dit alles geldt ook voor de al genoemde andere elementen van IT. Naarmate de telefooncentrale bijvoorbeeld directer voor het transport van gegevens wordt gebruikt, zal de neiging toenemen ook deze apparatuur onder het beveiligingsregiem van computers te plaatsen. Uitbesteding van gegevensverwerking vergt apart aandacht. Indien derden (delen van) de computerverwerking voor hun rekening nemen, zullen afspraken over de beveiliging van gegevens en -verwerking moeten zijn gemaakt. Meestal worden dergelijke afspraken in de vorm van beveiligingseisen in een SLA (Service Level Agreement) vastgelegd. De controle op het voldoen aan de eisen is noodzakelijk omdat de overdracht van werkzaamheden de eigenaar van de gegevens niet ontslaat van de verantwoordelijkheid jegens zijn leveranciers en opdrachtgevers.

6. Programmatuur Maatregelen voor de bescherming van programmatuur moeten gelden voor alle soorten programmatuur. Niet alleen de toepassings- of applicatieprogrammatuur zal door maatregelen moeten worden beschermd, ook de besturings- of systeemprogrammatuur vergt maatregelen. Hierbij kan worden gedacht aan de aanschaf van programmatuur, de zekerheid dat de leverancier betrouwbare programmatuur levert, in staat zal zijn ook in de toekomst onderhoud en andere verplichtingen na te komen en dergelijke. Voor het geval waarin de mogelijkheid bestaat dat de leverancier in de toekomst niet in staat zal zijn de programmatuur aan te passen of te onderhouden, is een escrow overeenkomst noodzakelijk. Een dergelijke overeenkomst geeft de afnemer de zekerheid dat hij bij niet presteren van de leverancier toch kan beschikken over de broncode van de programmatuur zodat de wijzigingen kunnen worden uitgevoerd door een andere partij dan de oorspronkelijke leverancier. Bij gebrek aan een dergelijke overeenkomst kan de continuïteit ernstig in het gedrang komen. Tijdens het ontwerpen van programmatuur zal aandacht aan specificaties worden geschonken die de correcte werking waarborgen. Ook de mogelijkheid om registraties bij te houden van de verwerkingsstappen en andere controlemogelijkheden zullen moeten worden gespecificeerd. Bij de realisatie van programmatuur is het zaak te voorkomen dat ongewenste constructies worden gebruikt die op een later tijdstip tot ongeautoriseerd gebruik van de programmatuur, fraude of het ongeautoriseerd ontsluiten van gegevens kan leiden. Bij de invoering van de programmatuur zal moeten worden gewaarborgd dat alle beoogde beveiligingsmaatregelen daadwerkelijk functioneren en niet worden uitgeschakeld. Ook de instructie van personeel is een onderdeel van de beveiligingsmaatregelen omdat daardoor de juiste werking van het geheel kan worden gewaarborgd. Aan documentatie dienen eisen gesteld te worden omdat complete en actuele documentatie het herstel van fouten kan bespoedigen. Beheer en onderhoud van programmatuur behoort ook de documentatie te omvatten. Aandacht verdienen hierbij de maatregelen die nodig zijn

35


om ervoor te zorgen dat alleen geautoriseerde wijzigingen worden doorgevoerd. Voor de wijzigingen gelden dezelfde maatregelen als bij het ontwerpen van programmatuur.

7. Logische beveiliging Maatregelen voor logische beveiliging richten zich op het verlenen van toegang tot opgeslagen gegevens en systeemfuncties. Om een en ander doeltreffend te laten functioneren, zal een goed beheer van de gegevens een uitgangspunt moeten zijn. Gegevensbeheer omvat de status van gegevens (definitie, waarde, opslag) en de bewaking van het gebruik ervan. Het gebruik zal beperkt moeten kunnen worden door autorisatieregels. De eigenaar van de gegevens zal voor iedere autorisatie formeel toestemming moeten geven. Daarbij kan onderscheid worden gemaakt naar het lezen, wijzigen en verspreiden van de gegevens. Autorisatie kan ook worden toegepast op programmatuur door gebruikers te beperken in de mogelijkheid combinaties van programma’s en gegevens toe te passen. Gebruikersidentificatie en wachtwoorden behoren tot de maatregelen om de verstrekte autorisaties te controleren. Daarbij behoort het zorgvuldig omgaan met wachtwoorden door de gebruikers. Maatregelen behoren ook regels te bevatten over samenstelling, wijziging en documentatie van wachtwoorden. Teneinde te voorkomen dat computers die “aanstaan”, maar waarvan de gebruiker even niet op zijn/haar plaats is, worden gebruikt door onbevoegden, worden wel screensavers toegepast. Dit zijn programma’s die automatisch in werking treden als gedurende een vooraf bepaalde tijd, geen gebruik wordt gemaakt van het toetsenbord. Het computerscherm wordt in dat geval voorzien van een neutrale tekst of beeld dat pas na het opgeven van een wachtwoord weer kan worden verwijderd waarna weer normaal kan worden gewerkt. Versluiering (of cryptologie) is een maatregel die kan worden toegepast bij transport en opslag van gegevens. De bedoeling hiervan is tegen te gaan dat niet-geautoriseerden toegang kunnen krijgen tot deze gegevens. Voorbeelden van onbeschermde verzending van gegevens is Internet. Ook de opslag van gegevens op de harde schijf van een personal computer dienen beveiligd te zijn. Door het fysiek verwijderen van de schijf kan de bescherming van het wachtwoord worden doorbroken.

8. Continuïteit Maatregelen om de continuïteit van de informatieverwerking te waarborgen, kunnen worden verdeeld in voorzieningen en plannen. Voorzieningen zijn nodig om de plannen doeltreffend te maken als zich een incident of calamiteit voordoet. Tot de voorzieningen behoren: Detectiemiddelen die de oorzaak van een incident of calamiteit snel kunnen signaleren zodat kan worden beslist of sprake is van een noodsituatie die ingrijpen noodzakelijk maakt.

36


Off-site storage. Dit is een opslag van reserve materiaal op een plaats die zodanig van de locatie van de informatieverwerking is gescheiden, dat in geval van een calamiteit de beide locaties niet tegelijkertijd worden getroffen. Reserve materiaal. Dit kan bestaan uit de back-up van programmatuur en gegevens, instructies en documentatie voor het gebruik van de programmatuur en andere zaken die van belang zijn voor de gegevensverwerking zoals specifieke formulieren, papier of enveloppen. Uitwijkfaciliteiten. Hieronder worden voorzieningen verstaan die het mogelijk maken de gegevensverwerking tijdelijk elders te laten plaatsvinden. Naast computer, netwerk, werkplek en telefoonaansluiting, kunnen nog andere voorzieningen nodig zijn. Crisiscentra waar gedurende een bepaalde periode de centrale coördinatie en leiding van de activiteiten is geconcentreerd. Continuïteitsplannen bestaan uit: een noodplan dat dient voor de redding van mensen en middelen; een uitwijkplan dat de regie en alle activiteiten bevat om de gegevensverwerking tijdelijk op een andere, vooraf bepaalde locatie te doen plaatsvinden; een herstelplan waarin is vastgelegd op welke wijze en met welke instanties zal worden beslist over het herstel van de ruimten en middelen alsmede over de wijze van terugkeer van de gegevensverwerking naar de herstelde locatie; een planning voor het onderhouden en testen van de plannen. In bijgaande figuur wordt het optreden van een calamiteit of incident getoond met de daaropvolgende actie.

Noodfase (Bedrijfsnoodplan)

Calamiteit Normale BedrijfsSituatie

Normale BedrijfsSituatie

Schade-inventarisatie (uitwijkplan) Incident

Escalatie

Uitwijkfase (Uitwijkplan)

Herstelfase (Herstelplan)

CONTINUITEITSPLAN Legenda:

= Beslissing

37


Voor incidenten wordt aangenomen dat ze niet leiden tot een noodfase waarbij ontruiming van een (deel van een) gebouw noodzakelijk is. Daarentegen beginnen incidenten vaak onschuldig en kunnen ze soms escaleren tot grote gebeurtenissen. Een voorbeeld van een dergelijk incident is het uit de hand lopen van het installeren van nieuwe besturingssoftware. Door een optredende fout kon de normale gegevensverwerking niet meer worden gestart zodat na het weekend de bedrijfsprocessen kwamen stil te liggen. Op woensdag was de fout verholpen en kon de gegevensverwerking worden hervat. Een uitwijkplan met goede voorzieningen had in dit geval uitkomst kunnen bieden.

Invoeren van maatregelen Voor het beveiligen van informatie en de verwerkingsprocessen worden vele maatregelen getroffen. Soms blijkt later, bij de invoering of bij het gebruik, dat er iets is vergeten. Soms is dat pijnlijk en leidt zelfs tot schade, soms kan dat eenvoudig worden bijgewerkt. De les die uit de praktijk kan worden geleerd is dat van tevoren goed moet worden nagedacht over ontwerp, realisatie en invoering van maatregelen. Maatregelen worden ingevoerd omdat er de verwachting is dat we daar wat aan hebben. De beslissing om een maatregel te treffen wordt vaak genomen na een incident. Een voorval met schade is nogal eens de start van maatregelen. Ook komt het natuurlijk voor dat op grond van een beleid of eisen die door de branche worden gesteld, maatregelen worden ingevoerd. Wat de aanleiding ook is, voor een doeltreffende invoering moet de bedoeling van de maatregel duidelijk zijn. Wachtwoorden bijvoorbeeld, zijn als maatregel bedacht om te regelen dat gegevens of programmatuur slechts door een beperkte groep, die vooraf is aangewezen, kan worden benaderd. Het gaat mis als we er niet bij vertellen dat alleen een beperkte groep toegang tot gegevens mag hebben, dat wachtwoorden daarom geheim moeten blijven en niet mogen worden overgedragen. Ook aan de lengte, samenstelling en geldigheidsduur worden eisen gesteld, evenals aan de procedure waarmee mensen worden geautoriseerd (toestemming geven tot toegang met een wachtwoord). In de praktijk wordt één maatregel al gauw een reeks afzonderlijke regels die maken dat de bedoeling van een maatregel wordt gerealiseerd. Het geheel van de regels moet van tijd tot tijd worden gecontroleerd hetgeen ook weer tot de maatregel kan worden gerekend. Ontwerpen van een maatregel betekent dus rekening houden met alle aspecten die het toepassen van de maatregel mogelijk maken. Een van de aspecten die tijdens het ontwerp aan de orde komen, is de vraag of er al regels zijn die met de nieuwe maatregel verband houden of zelfs er mee in strijd zijn. Soms blijkt dat pas bij de invoering, hetgeen erg laat kan zijn. Het invoeren van nieuwe maatregelen vraagt om instructie en voorlichting. Als mensen niet weten wat er van hen wordt gevraagd kunnen ze de maatregelen niet uitvoeren. Maar ook als maatregelen zijn ingevoerd moet kritisch worden gevolgd of alles wel functioneert zoals het behoort. Ook dan komen er vaak onverwachte dingen naar voren.

38


Maatregelen kunnen pas doeltreffend zijn als ze compleet zijn en niet strijdig met andere regels. Degene die de maatregel moet uitvoeren, zal dat moeten leren en kunnen verenigen met de taken die hij of zij al uitvoert. Andere betrokken partijen zullen op de hoogte moeten zijn om strijdigheden en misverstanden te kunnen voorkomen.

Opdracht 3: maatregelen tegen bedreigingen van e-mail Bedreigingen 1 t/m 17 vanuit de optiek van de Zender. Nr.

Bedreiging

1.

Vertraging in transport van berichten

2.

Verlies van een bericht

3.

Verkeerde bezorging

4.

Ongewenste wijziging van de berichtinhoud

5.

Technische verminking van een bericht

6.

Vermenigvuldigen van een bericht

7.

Ongewenste kennisname berichtinhoud

8.

Transport mislukt

9.

Ontvangst geweigerd

10.

Ontkenning van ontvangst (door de ontvanger)

11.

Identiteit ontvanger onbekend

Maatregel

39


Nr.

Bedreiging

12.

Uitvallen van faciliteiten

13.

Bewijskracht elektronische handtekening juridisch niet erkend

14.

Inhoud bericht juridisch niet beschermd door briefgeheim

15.

Misbruik van e-mail door aanname valse identiteit

16.

Onbevoegde kennisname berichtenstroom (route en aantal berichten)

17.

Onterecht claimen van bericht ontvangst

Maatregel

Vragen:

1. Geef voor ieder van de bedreigingen een of meer mogelijke maatregelen. 2. Geef aan of de maatregel een preventieve of een repressieve werking heeft.

40


5

Analyse van risico’s en A&K

5.1

Inleiding Er bestaan verschillende manieren om risico’s te analyseren. In de eerste plaats is er het onderscheid tussen kwantitatieve en kwalitatieve methoden. De kwantitatieve methoden proberen een getal te koppelen aan het risico, meestal door een geldsbedrag. Omdat de kans waarmee bedreigingen zich voordoen een variabele is, wordt het risico uitgedrukt in een minimaal en maximaal te lijden schade. De kansen waarmee wordt gerekend vormen dan een minimum en een maximum kans. Het feitelijke risico zal zich derhalve ergens tussen deze uitersten bevinden. In het geval van een kwalitatieve analyse worden geen bedragen genoemd maar wordt een aanduiding gegeven van de mogelijke gevolgen in termen als “hoog”, “gemiddeld” en “laag”. Datzelfde geldt dan voor de kansen die worden toegekend aan het optreden van dreigingen. Er zijn verschillende software toepassingen verkrijgbaar voor het uitvoeren van een risicoanalyse. Van eenvoudige spreadsheets tot gecompliceerde modellen. Welke keuze gemaakt moet worden bij de toepassing van risicoanalyse is afhankelijk van de diepgang die men wil en kan bereiken. Er moeten betrouwbare gegevens beschikbaar zijn voor het toepassen van kwantitatieve methoden. Maar als die cijfers er niet zijn kan ook gewerkt worden met schattingen die door deskundigen of betrokkenen worden gedaan. Vervolgens kunnen gemiddelden van deze schattingen worden gebruikt als rekengrootheden. Vaak levert dat bevredigender resultaten op dan in het geval van een kwalitatieve analyse. Het is immers lastig om subjectieve grootheden als “groot” en “klein” met elkaar te verbinden. Voorafgaande aan het uitvoeren van een risicoanalyse zal het object van de analyse moeten worden bepaald. Dat door de keuze verschillende resultaten kunnen ontstaan, wordt in de volgende opdracht geïllustreerd. Opdracht 4: Proces of applicatiesysteem?

Stel een organisatie waar in een verkoopafdeling en een afdeling Administratie worden onderscheiden. Beide afdelingen maken gebruik van een wordprocessingpakket. Dit pakket is beschikbaar op een server die wordt beheerd door de afdeling Systeembeheer. Geef de verschillen aan tussen een risicoanalyse voor het wordprocessingpakket tegenover een analyse gericht op de twee afdelingen.

41


5.2

Voorbeeld van een kwantitatieve risicoanalyse Het volgende voorbeeld geeft op een eenvoudige wijze de principes van een kwantitatieve risicoanalyse weer. Het voorbeeld is ontleend aan het boek van Hartman.18 Het gaat om een bedrijf dat een computer exploiteert voor het maken van software ten behoeve van derden. De drie elementen die worden onderscheiden zijn: de computerruimte, waarde EUR 50.000; de computer, waarde EUR 300.000; de diensten, waarde van de omzet op jaarbasis EUR 500.000. Het gaat uitsluitend om de bedreiging brand. Indien deze optreedt, wordt een schade verwacht van 80% van de waarde van de computerruimte en 95% van de waarde van de computer. De verwachting is tevens dat de dienstverlening als gevolg van een brand gedurende twee weken zal stil liggen. Indien wordt aangenomen dat een dergelijke brand één keer per tien jaar zal optreden, kan de volgende berekening worden gemaakt: 0,80 x 50.000 = 0,95 x 300.000 = 2/52 x 500.000 = Totaal 344.230 x 0,1 =

40.000 285.000 19.230 -----------EUR 34.400 jaarlijks verwachte schade.

Stel dat er mogelijkheden zijn de maatregelen ter voorkoming van brand of het beperken van de schade, te verbeteren. De effecten van deze verbeteringen kunnen worden gesimuleerd. In de eerste plaats preventieve maatregelen die ertoe leiden dat een brand minder vaak, bijvoorbeeld één maal per twintig jaar voorkomt. Het effect kan als volgt worden berekend: Totaal verwachte schade 344.230 x 0,1 =

EUR 34.400, wordt

344.230 x 0,05 =

EUR 17.200

Verschil

EUR 17.200

18

W. Hartman e.a., Bevordering betrouwbaarheid informatiesystemen, 1986 ISBN 90-267-1118-2

42


Als repressieve maatregel wordt gedacht aan een mogelijkheid de periode van stilliggen van het productieproces te bekorten tot één week. In dat geval wordt de schadeberekening: 0,80 x 50.000 = 0,95 x 300.000 = 1/52 x 500.000 = Totaal 334.615 x 0,1 =

40.000 285.000 9.615 ---------EUR 33.462 jaarlijks verwachte schade.

Het effect van deze verbetering is: EUR 34.400 - EUR 33.462 = EUR 938. De preventieve maatregel heeft derhalve een groter effect dan de repressieve.

5.3

Voorbeeld van een A&Kanalyse In het Voorschrift Informatiebeveiliging Rijksdienst (VIR) worden basisbegrippen en methodes besproken die voor de informatiebeveiliging van de rijksdienst gelden. In dit voorschrift komt het woord risicoanalyse wel voor maar steeds als een gebied waarbinnen nuttige methoden en technieken te vinden zijn ten behoeve van afhankelijkheidsanalyse en kwetsbaarheidsanalyse. Daarbij worden de volgende definities gebruikt: Afhankelijkheidsanalyse: het vaststellen in hoeverre bestuurs- of bedrijfsprocessen die door informatiesystemen worden ondersteund, afhankelijk zijn van de betrouwbaarheid van deze systemen en het vaststellen welke potentiële schades kunnen optreden als gevolg van het falen van deze informatiesystemen. Kwetsbaarheidsanalyse: het vaststellen van de invloed van het manifest worden van bedreigingen op het functioneren van een informatiesysteem of een verantwoordelijkheidsgebied.

Afhankelijkheidsanalyse Een methode voor de bepaling van de afhankelijkheid wordt niet gegeven in het VIR. Ook wordt niet ingegaan op de manier waarop deze afhankelijkheid kan worden uitgedrukt. Wel wordt aangegeven dat de potentiële schades die kunnen optreden als gevolg van verstoringen in de informatievoorziening, tot de afhankelijkheidsanalyse behoort. Zowel de directe, de herstel- als de gevolgschade dient daarbij te worden betrokken. Het resultaat van de afhankelijkheidsanalyse is een set betrouwbaarheidseisen die aan een informatiesysteem kan worden gesteld. Ook voor deze eisen wordt niet aangegeven hoe die moeten worden geformuleerd. Een praktische methode voor afhankelijkheidsanalyse bestaat uit de volgende stappen: 1. het benoemen van de bedrijfsprocessen en inventarisatie van de applicaties die in ieder proces worden gebruikt;

43


2. analyse van de bedrijfsprocessen; 3. vaststelling van de gevolgen die samenhangen met het optreden van dreigingen voor het object van onderzoek (ten aanzien van de aspecten beschikbaarheid, integriteit, exclusiviteit); 4. benoeming van concrete betrouwbaarheidseisen op grond van de analyse van de mogelijke gevolgen van inbreuken op de betrouwbaarheid (beveiligingsdoelen).

Stap 1 Benoemen van de bedrijfsprocessen Vastgesteld moet worden voor welke combinatie van bedrijfsproces en informatiesystemen de analyse wordt uitgevoerd. Daarbij is een complete inventarisatie nodig van de systeemdelen die voor ieder van de onderdelen van het bedrijfsproces benodigd zijn.

Stap 2 Analyse van de bedrijfsprocessen Benoem voor ieder van de bedrijfsprocessen de volgende elementen: doelstelling en eigenaar/houder van het proces; ‘grondstoffen’ (invoer) van het proces; leveranciers van de grondstof; producten/diensten (uitvoer) van het proces; afnemers van de producten/diensten; samenwerking met derden; aantal medewerkers; eventueel te onderscheiden deelprocessen.

Stap 3 Gevolgenanalyse Beschrijf voor het bedrijfsproces de gevolgen van het optreden van bedreigingen. Daarbij hoeft niet te worden ingegaan op afzonderlijke bedreigingen maar kan worden volstaan met de gevolgen die zouden kunnen optreden als het bedrijfsproces: gedurende enige tijd niet kan functioneren omdat de IT-hulpmiddelen (applicatie) niet beschikbaar is; onbetrouwbare producten (informatie) levert door niet of incorrect functionerende IThulpmiddelen; de vertrouwelijkheid die voor de in het proces verwerkte of opgeslagen gegevens, wordt doorbroken.

44


Geef aan of de gevolgen gelden per uur dat de uitval duurt, per dagdeel, per dag of per week (tijdseenheid). Bij de gevolgen kan worden gebruikgemaakt van de volgende voorbeelden: Niet-beschikbaarheid: leegloop, efficiencyverlies, overwerk, verlies van omzet, verlies van klanten, claims en dergelijke. Onbetrouwbaarheid: Herstelkosten fouten, claims, imagoschade, klantverlies en dergelijke. Schending vertrouwelijkheid: Imagoschade, klantverlies, claims, boeten, en dergelijke. Bedrijfsproces

Gevolgen voor Beschikbaarheid (tijdseenheid: ………..)

Gevolgen voor Integriteit (betrouwbaarheid)

Gevolgen voor Vertrouwelijkheid

Stap 4 Beveiligingsdoelen Bepaal op grond van de mogelijke gevolgen, de beveiligingsdoelen van het bedrijfsproces. Beschrijf de doelen apart voor de aspecten: beschikbaarheid, integriteit en vertrouwelijkheid. Denk hierbij aan de maximaal toelaatbare uitvalsduur, het maximaal toegelaten optreden van programmafouten per programmaregel en dergelijke. Bedrijfsproces

Beschikbaarheid

Integriteit

Vertrouwelijkheid

45


Opdracht 5: Crediteurenadministratie, weten we alles?

De crediteurenadministratie van een bedrijf verwerkt de rekeningen van leveranciers en zorgt voor betaalbaarstelling. In verband met de kortingspercentages en de betalingstermijn, is een tijdige afhandeling van "groot" belang. Geef aan hoe de afhankelijkheid die bestaat tussen het bedrijfsproces en de informatieverwerking kan worden beschreven. Welke betrouwbaarheidseisen kunnen worden gesteld?

Kwetsbaarheidsanalyse Kwetsbaarheidsanalyse wordt in het VIR omschreven als het verifiëren van het feit dat de maatregelen voldoende zijn. Het resultaat van de kwetsbaarheidsanalyse is een oordeel over de mate waarin aan de betrouwbaarheidseisen wordt voldaan. Het gaat om maatregelen op de volgende gebieden: personeel; procedureel; organisatorisch; fysiek; juridisch; programmatisch; in apparatuur opgenomen. Het wordt niet duidelijk gemaakt hoe de "invloed van het manifest worden van bedreigingen op het functioneren van het informatiesysteem" wordt gemeten. Overigens wordt wel aangegeven dat het pakket maatregelen evenwichtig moet zijn. Daarmee wordt dan bedoeld dat een balans ontstaat tussen kosten en baten in de vorm van vermeden risico's. Een praktische methode voor een kwetsbaarheidsanalyse bestaat uit de volgende stappen: 1. Bepaal de beveiligingseisen die voor de applicaties in de afhankelijkheidsanalyse zijn vastgesteld. 2. Bepaal de gevoeligheid voor dreigingen. 3. Bepaal de noodzaak voor extra maatregelen.

46


Impliciet wordt bij het toepassen van deze methode specifieke kennis verondersteld. Dat betekent dat de conclusies moeten worden onderbouwd met de veronderstellingen en aannames die tijdens de analyse zijn gehanteerd.

Stap 1 Bepalen van de beveiligingseisen Beveiligingseisen kunnen bijvoorbeeld zijn gedefinieerd als “Hoog”, “Uitgebreid”, en “Basis”. Zonder nadere aanduiding (kwantificering) blijft deze aanduiding natuurlijk niet toepasbaar. Beschikbaarheid

Hoog:

reserveringssysteem van de KLM (maximaal 10 minuten)

Uitgebreid: tekstverwerker (maximaal 2 dagen) Basis:

reisplanner NS op eigen PC (maximaal een paar weken)

Integriteit

Hoog:

salarissystemen (een fout heeft grote schade tot gevolg maar kan worden teruggedraaid)

Uitgebreid: elektronische agenda Basis:

reisplanner NS (een fout heeft minimale schade tot gevolg)

Vertrouwelijkheid

Hoog:

medische gegevens (zijn vertrouwelijk)

Uitgebreid: naam-, adres-, en woonplaats van personeelsleden (voor eigen medewerkers beschikbaar) Basis:

reisplanner NS (voor iedereen toegankelijk)

Stap 2 Bepaal de gevoeligheid In de navolgende tabel zijn enkele relevante dreigingen gegeven voor de applicaties. Deze dreigingen zijn beschreven vanuit een ‘kale’ situatie, dat wil zeggen: alsof er niet reeds beveiligingsmaatregelen zouden zijn getroffen. Bepaal nu de gevoeligheid voor de betrouwbaarheidseisen Beschikbaarheid (B), Integriteit (I) en Vertrouwelijkheid (V) in kwalitatieve zin waarbij kan worden gekozen uit de categorieën: Laag, Middel en Hoog.

47


Bedreiging

Gevoeligheid

Argumentatie

(Geen - Laag - Gemiddeld - Hoog)

voor Betrouwbaarheidseis (BIV) Fysieke bedreigingen, zoals brand en wateroverlast

Menselijke fouten, zoals bedieningsfouten

Fouten in programmatuur

Fouten in apparatuur

Opzettelijk verkeerd handelen, zoals sabotage

Stap 3 Bepaal de noodzaak voor extra maatregelen Bepaal op grond van de gevoeligheid van de applicaties en de reeds getroffen maatregelen de aanvullende benodigde maatregelen. Bedreiging

Gevoeligheid (Geen - Laag - Gemiddeld - Hoog)

voor Betrouwbaarheidseis (BIV) Fysieke bedreigingen, zoals brand en wateroverlast

Menselijke fouten, zoals bedieningsfouten

Getroffen maatregelen Aanvullende te treffen maatregelen

Branddetectie Handblusmiddelen Geen waterdetectiemiddelen Geen fysieke toegangsbeveiliging Beperkt sleutelbeheer Alleen mondelinge gedragsregels

48


Bedreiging

Gevoeligheid (Geen - Laag - Gemiddeld - Hoog)

voor Betrouwbaarheidseis (BIV)

Getroffen maatregelen Aanvullende te treffen maatregelen

Fouten in programmatuur

Richtlijnen en procedures voor het ontwikkelen van informatiesystemen Ingevoerd kwaliteitssysteem

Fouten in apparatuur

Alleen mondelinge gedragsregels Geen registratie van fouten Onderhoudscontract met derde

Opzettelijk verkeerd handelen, zoals sabotage

Autorisaties voor toegang tot de applicaties op basis van mondelinge gedragsregels Beperkte logische toegangsbeveiliging Geen encryptie

Opdracht 6: Researchafdeling, wat moeten we weten?

In een researchafdeling van een bedrijf wordt overwogen een koppeling tot stand te brengen met een extern netwerk. De operationele voordelen zijn groot maar er is terughoudendheid in verband met risico's met betrekking tot de beschikbaarheid, de betrouwbaarheid en de vertrouwelijkheid van de gegevensverwerking. Gevraagd wordt een opsomming te geven van de informatie die nodig is om tot een weloverwogen besluit te komen.

49


6

Besluitvorming

6.1

Inleiding In de literatuur19 over Risicostrategieën blijken vier mogelijkheden om met risico's om te gaan steeds weer te worden genoemd: vermijden of opheffen van de risico's door het veranderen van het gedrag van mensen, de aanschaf van middelen of het aanpassen van activiteiten van de organisatie; verminderen of beperken van de risico's door het nemen van maatregelen; overdragen van het (financiële) gevolg van risico's aan derden; acceptatie van de risico's. Er zijn dus meerdere mogelijkheden die elk apart of in combinatie met elkaar voor de desbetreffende organisatie een oplossing kunnen bieden voor de risico's. Bij het vaststellen van een mogelijke strategie gaat het er derhalve om, inzicht te geven in de mogelijkheden van de verschillende opties. Daarbij spelen een groot aantal factoren een rol. Deze factoren zijn bijvoorbeeld: van financiële aard, zijn de kosten aanvaardbaar? de bedrijfsdoelen, is een mogelijke oplossing strijdig met geheimhouding? van psychologische aard, kan de gekozen optie worden "uitgelegd" aan betrokkenen? de markt, zijn er doeltreffende oplossingen beschikbaar? De verschillende mogelijkheden zullen hierna worden besproken. Zoveel mogelijk zal aan de hand van concrete voorbeelden worden duidelijk gemaakt wat deze mogelijkheden zijn. Daardoor zal ook de rol van de verschillende factoren bij een keuze aan de orde kunnen komen. Het startpunt zal evenwel het acceptabele risico zijn.

Het begrip acceptabel risico De vraag of risico's acceptabel zijn kan alleen worden gesteld aan degene die voor de mogelijke gevolgen verantwoordelijk is. Eenvoudige voorbeelden maken dat duidelijk. Immers, bij de overweging een paraplu mee te nemen bij een wandeling, speelt naast de schatting van de kans op een regenbui, ook de vraag een rol of het erg wordt gevonden eventueel nat te worden. Iemand die dat niet zo erg vindt, kan dus de regenbui een acceptabel risico vinden en de paraplu thuis laten. Het begrip acceptabel is subjectief en blijkt bovendien na een complexe afweging te worden bepaald. In het voorbeeld van de paraplu zullen nog andere dan de genoemde overwegingen 19

Zie bijvoorbeeld P.F. Claes, Risico management EPN, Houten 2000

50


mee spelen. Bijvoorbeeld de lengte van de wandeling, de last van het (voor niets?) meenemen van de paraplu, de mogelijkheid iemand anders eventueel uit de drup te kunnen houden, etc. Nadat een risicoanalyse is uitgevoerd zal de behoefte groot zijn om gezamenlijk vast te stellen wat acceptabel is. Alle acceptabele risico's kunnen immers voorlopig of misschien permanent buiten beschouwing blijven. Daardoor kan de keuze van mogelijke strategieën voor maatregelen worden geconcentreerd op de risico's die daadwerkelijk "leven" in de organisatie. Voor het aangeven van grenzen aan risico's, gaan we uit van kengetallen. Dit zijn getallen die aan de risicoanalyse worden ontleend en die op eenvoudige wijze kunnen worden besproken. Voorbeelden van dergelijke kengetallen zijn: de top-5 bedreigingen (SLE of ALE); de totale jaarlijkse schadeverwachting; de bedreigingen waarvan de enkelvoudige schadeverwachting relatief hoog is en waarvan tevens de lokale frequentie relatief hoog is; het verloop van de vertragingsschade in de tijd; de processen die de grootste jaarlijkse schadeverwachting opleveren. Deze kengetallen kunnen beoordeeld worden in samenhang met andere kengetallen of grootheden die in de organisatie bekend zijn zoals omzet, budget, winstverwachting, aangegane verplichtingen, ontwikkelingen op het gebied van computers, verwachtingen bij afnemers en andere participanten. Hierbij zal in de praktijk al snel een discussie ontstaan waarbij de gevolgen nog eens worden geëvalueerd. Het is daarom van belang de gevolgen die tijdens het onderzoek niet zijn gekwantificeerd, bij de hand te hebben. Deze zijn voor de juiste interpretatie en de keuzen van vervolgacties van wezenlijk belang.

Een voorbeeld Stel de jaarlijkse schadeverwachting bedraagt voor een organisatie minimaal EUR 100.000 en maximaal EUR 450.000. Bij een jaarlijkse omzet van EUR 150.000.000 en een winst van 6% bedraagt de schadeverwachting dus 0,07 tot 0,3 procent van de omzet. Omdat de schadeverwachting beschouwd kan worden als potentiële kosten, kan ook worden gezegd dat de winst jaarlijks 1,1% tot 5,0% hoger zou kunnen zijn. De bijkomende niet gekwantificeerde gevolgen, als bijvoorbeeld imagoschade, kunnen helpen de inzichten nog te verduidelijken. Een en ander zou kunnen leiden tot de vaststelling dat een jaarlijkse schadeverwachting van maximaal EUR 120.000 acceptabel is. Voor het bepalen van de strategieën die ertoe kunnen leiden dat de jaarlijkse schadeverwachting inderdaad tot genoemde proportie wordt teruggebracht, zal moeten

51


worden bepaald welke bedreigingen de grootste mogelijkheid bieden voor het beperken van de schadeverwachting.

6.2

De strategieën Vermijden Het gaat hier om het kiezen van andere oplossingen of varianten zodat de risico's niet kunnen optreden. De organisatie probeert de risico's te vermijden of op te heffen door zichzelf immuun te maken voor bepaalde bedreigingen. Een voorbeeld is het risico dat is verbonden aan het gebruik van datacommunicatielijnen. Onder meer is daardoor de bedreiging ONGEAUTORISEERDE ONTSLUITING VAN GEGEVENS door hacking voor de organisatie relevant. De vermijdingstrategie zou betekenen dat voor het opheffen van het risico dat door het optreden van een hacker gegevens zouden worden bekend gemaakt, het gebruik van datacommunicatie wordt beëindigd. Het is de vraag of deze optie in alle gevallen daadwerkelijk een optie is. In de meeste gevallen zal door het vermijden van het ene risico een ander kunnen ontstaan. Zo zal de functionele betekenis van datacommunicatie (zoals snelheid, doelmatigheid, verminderen van fouten) in stand moeten blijven waardoor een alternatief wordt gekozen. Aan dit alternatief kunnen weer risico's zijn verbonden. Ook is het mogelijk dat de hogere kosten of andere nadelen van de vermindering van functionaliteit worden geaccepteerd. Alleen in dat laatste geval is sprake van vermijding van risico's. Een voorbeeld van het toepassen van de vermijdingstrategie die tot commerciële voordelen leidt, is het toepassen van milieuvriendelijke materialen. Naast het vermijden van de risico's zijn er de PR voordelen die de kosten van aanpassing van het ontwerp van product of productieproces kunnen goedmaken.

Verminderen Bij het verminderen of beperken van de risico's gaat het om het treffen van maatregelen die preventief of repressief werken.

PREVENTIEVE

BEVEILIGING

Maatregelen die erop zijn gericht het optreden van bedreigingen te voorkomen. Daartoe kunnen ook die correctieve maatregelen worden gerekend die erop zijn gericht het optreden van de bedreiging in de toekomst af te wenden. Met name disciplinaire maatregelen zijn hierop gericht. Voorbeelden zijn opleidingsprogramma's voor het personeel en het verbeteren van arbeidsomstandigheden (beperken van menselijke fouten), onderhoudsprogramma's

52


(beperken van storingen), logische en fysieke toegangsbeheersing (beperken van ongeautoriseerde activiteiten). Door het invoeren of verbeteren van dergelijke maatregelen kan het optreden van bedreigingen worden beperkt.

REPRESSIEVE

BEVEILIGING

Maatregelen die erop zijn gericht de omvang van de schade te beperken in het geval een bedreiging optreedt. Hiertoe kunnen ook worden gerekend: detectie maatregelen die het optreden van een bedreiging in een vroeg stadium signaleren; correctieve maatregelen die erop zijn gericht escalatie tijdens het optreden van de bedreiging zoveel mogelijk te voorkomen. Schade verminderende maatregelen zijn bijvoorbeeld uitwijkvoorzieningen, uitwijkplannen, regelingen voor herstelmateriaal, brandblussing en dergelijke. Voorbeelden van detectie zijn te vinden op het gebied van inbraak, brand, wateroverlast maar ook controles ten behoeve van het opsporen en tegengaan van fraude kan als detectie worden opgevat. Een voorbeeld van een correctieve maatregel is een procedure die wordt gevolgd na het ontdekken van een virus. Deze procedure kan erop zijn gericht snel na te gaan welke systemen vanuit het besmette systeem kunnen zijn besmet. De activiteiten die moeten leiden tot het terugbrengen van de oorspronkelijke situatie vallen niet in de categorie maatregelen. Herstelwerkzaamheden zoals het verbeteren van programmafouten, het repareren van apparatuur na een storing, het uitvoeren van een restoreprocedure, zijn geen maatregelen. De kosten van deze activiteiten behoren tot de schade. Wel kunnen voor deze activiteiten repressieve maatregelen zijn voorbereid waardoor de werkzaamheden sneller en doelmatiger kunnen verlopen. Daardoor kan de schade worden beperkt.

Overdragen Overdragen van risico's gebeurt door contractueel vastgelegde afspraken. Door bepaalde activiteiten over te dragen aan gespecialiseerde bedrijven worden de risico's die aan die activiteiten zijn verbonden aan die derde overgedragen. Deze laatste zal echter trachten bepaalde elementen van de risico's uit te sluiten. Het verschil met de vermijdingstrategie is dat bij overdragen het risico in stand blijft en nieuwe risico's kunnen ontstaan. De houder van het risico wordt een andere terwijl de organisatie die overdraagt er het risico van afhankelijkheid voor in de plaats krijgt.

53


De noodzaak na te gaan in hoeverre het risico van de leverende partij aan de contractpartner kan worden doorgegeven blijft bestaan. Indien immers een product niet aan de klant kan worden geleverd omdat de toeleverancier niet tijdig leverde, is het de vraag wie de schade (gemiste verkoop) zal dragen. Het komt dus op goede afspraken aan. Overdracht kan ook worden gerealiseerd door de financiële gevolgen van het optreden van bedreigingen over te dragen (verzekeren). Overnemen van de financiële risico’s zoals verzekeraars dat traditioneel doen, is ook voor risico’s van IT mogelijk. In dat geval is sprake van een zuivere vorm van overdragen van (de financiële) risico’s. Voor een beoordeling van de bestaande verzekeringen in een organisatie, is het nodig dat inzicht bestaat in de afgesloten polissen en de daarbij behorende voorwaarden. Een probleem is vast te stellen welke verzekeringen in aanmerking komen voor het dekken van schade die kan ontstaan bij het toepassen van IT. Meestal gaat het bij verzekeren om de volgende indeling: brandverzekering; bedrijfsschadeverzekering; motorrijtuigenverzekering; transportverzekering; aansprakelijkheidsverzekering; arbeidsongeschiktheidsverzekering; ongevallenverzekering; employee benefits. De vraag hoe in een polis tot een specifieke verzekering voor informatieverwerking of IT wordt gekomen, zal voor ieder individueel geval moeten worden beoordeeld. Er is een periode geweest waarin een verzekering voor virussen op de markt was. Het grootste deel van de verzekering had betrekking op algemene elementen uit bovenstaande opsomming. Het specifieke deel dat direct te maken heeft met de schade die door een computervirus wordt veroorzaakt, bleek minimaal te zijn gedekt. Het toesnijden van verzekeringen op specifieke situaties is vermoedelijk moeilijker en daardoor duurder. Het gevolg is evenwel een beperkte toepasbaarheid van verzekeren van risico’s die behoren bij informatie en verwerking.

Voorbeeld In een bedrijf is een verzekering afgesloten voor de reconstructiekosten in geval van verlies van gegevensbestanden. De polis beloofd uitkering van een bedrag als door een van een

54


aantal oorzaken, de gegevensbestanden niet meer bruikbaar zijn. Omdat een reconstructie (opnieuw opbouwen van het bestand) een tijdrovende en dus dure activiteit is, is de premie hoog. Bovendien blijken er een aantal voorwaarden te zijn gesteld. Analyse van deze voorwaarden levert op dat: a. het bedrijf niet aan de voorwaarden voldoet en dus vermoedelijk niet in aanmerking komt voor uitkering; b. de voorwaarden zodanig zijn dat, bij vervulling, geen noodzaak meer aanwezig is voor de verzekering. In dit geval bleek de verzekering zelf de maatregelen voor te schrijven waardoor de potentiële schade kon worden opgeheven. Deze voorwaarden bleken feitelijk maatregelen te zijn die weliswaar kosten veroorzaakten, maar die kosten waren geringer dan de jaarlijkse premie.

Traditioneel is verzekeren het afwentelen overdragen van de financiële gevolgen van het optreden van bepaalde gebeurtenissen. De aanbieder van een dergelijke oplossing heeft eigen rendementsdoelen en is dus meer geïnteresseerd in het algemeen verschijnsel van een dreiging en de daarbij behorende gevolgschade dan in de individuele risico’s van een willekeurige probleem eigenaar. Moderne verzekeringsvragen betreffen de segmentering van de markt zodat gedifferentieerde klantengroepen ontstaan waarvoor een aanbod kan worden gedaan. Het gaat daarbij niet meer om het risico (dreiging en gevolg) of activiteit van de klant maar om een marketing gerichte benadering van de markt20. Omdat de klant naast betaler van premies ook een potentiële kosten- en schadepost is, is kennis van de klant noodzakelijk voor het bepalen van de marktstrategie. Het lijkt erop dat de probleemeigenaar die wil nagaan in hoeverre het overdragen van de financiële gevolgen van het optreden van dreigingen nuttig kan zijn, slechts een beperkte mogelijkheid wordt geboden door verzekeraars. Voor de risico’s die samenhangen met het gebruik van IT is dat jammer. De afhankelijkheden zijn groot en de schade kan dat ook zijn. De optie verzekeren blijkt echter maar beperkt toepasbaar. In alle gevallen van overdracht van risico's staat het contract centraal. In het contract behoort te staan wat wel en wat niet van de risico's wordt overgedragen. Dat kan een gecompliceerde zaak zijn want het gaat er dan om alle mogelijke dreigingen en gevolgen te overwegen. Bovendien zullen voorwaarden worden gesteld aan het gedrag van de overdragende organisatie. Zowel ten aanzien van het gebruik van materiaal, technische voorzieningen en procedures (maatregelen) kunnen eisen worden gesteld. Feitelijk komen daarbij dus alle elementen van de risicoanalyse aan de orde.

20

Prof.dr. Axel Reich, Dr. Michael Radtke, Barbara Niggemeyer "Der Aktuar in der Welt des Marketing" in Versicherungswirtschaft Heft 22/1996

55


Accepteren Een strategische mogelijkheid is ook het accepteren van bepaalde risico's. Daarvoor kunnen goede overwegingen gelden. Het belangrijkste is dat de keuze van accepteren bewust gebeurt. De passieve vorm ervan is het laten bestaan van (nog) niet geïdentificeerde risico's. Het bewust kiezen voor een (eigen) risico kan een actieve vorm van risicoacceptatie zijn. Opdracht 7: toepassen van strategieën

Teneinde een concreet beeld te geven van de mogelijkheden die er zijn om te kiezen voor strategieën wordt een aantal situaties beschreven. Steeds kan daarbij de vraag worden gesteld: Om welke strategie gaat het hier? 1. De off-site storage wordt gerealiseerd door met een bevriende onderneming af te spreken dat over en weer het reservemateriaal zal worden opgeslagen en bewaard. 2. Met een leverancier worden afspraken gemaakt voor het transport en de opslag van reservemateriaal in een off-site storage. 3. Een ontwikkelaar van software besluit tezamen met een aantal afnemers een escrowovereenkomst aan te gaan. 4. Een onderneming besluit de geautomatiseerde gegevensverwerking uit te besteden. 5. Overwogen wordt in een bedrijf om de uitwijk intern te regelen door extra apparatuur in een tweede locatie onder te brengen. 6. In het kader van het aanscherpen van het beveiligingsbeleid wordt besloten een periodieke controle op de actualiteit en compleetheid van het reserve materiaal in het off-site storage door te voeren. 7. Door een verzekeraar wordt geadviseerd gebruik te maken van reconditionering na een brand.

Het gebruik van scenario’s Om tot een bevredigende keuze van strategieën te kunnen komen, wordt wel gebruikgemaakt van scenario’s. Scenario's dienen een beeld te geven van de gevolgen van een strategiekeuze. In het algemeen zijn verschillende mogelijkheden of alternatieven beschikbaar in een gegeven situatie. De vraag welk alternatief het beste is voor een organisatie kan door scenario's worden ondersteund. De verleiding kan groot zijn in een scenario al een gedetailleerd beveiligingsplan te beschrijven. Daarmee wordt dan een grote hoeveelheid werk uitgevoerd dat beter kan wachten tot het moment waarop de keuze voor een strategie is gemaakt. Scenario's zullen dus globaal moeten zijn.

56


Een voorbeeld: In een organisatie is vastgesteld dat de risico's die zijn verbonden aan virussen in programmatuur voor personal computers groot zijn. Het betreft een organisatie met 16 personal computers die in een netwerk zijn verbonden. Elke personal computer heeft eigen specifieke toepassingen waarvoor ook steeds van invoer via floppy disk gebruik wordt gemaakt. Per computer zijn meerdere gebruikers geautoriseerd.

Welke mogelijke strategieën zijn er en door welke scenario's zijn die te beschrijven?

1. Vermijden Het vermijden van de risico's van virussen is mogelijk door niet meer met stations voor floppy disk te werken. Er zal echter een mogelijkheid moeten overblijven om software te laden waarmee de toegang tot het systeem voor virussen open blijft.

2. Verminderen Er zijn een aantal preventieve maatregelen mogelijk ter vermindering van het virus risico. Deze hebben betrekking op technische voorzieningen (software) en organisatorische maatregelen (richtlijnen en procedures). Er zijn repressieve maatregelen mogelijk die ervoor zorgen dat na het optreden van een virus de schade wordt beperkt. Het gaat hier om eenvoudige software en organisatorische regelingen die melding voorschrijven en isolatie vervolgens mogelijk maken.

3. Overdragen De gegevensverwerking kan in het geval van één personal computer worden uitbesteed aan een bureau. De andere computers kunnen op grond van strategische argumenten niet buiten de deur worden gezet. Een verzekeringsmaatschappij heeft een aanbod gedaan de risico's van virussen te verzekeren. Op basis van een nadere analyse van de mogelijkheden wordt vastgesteld dat het accepteren van de risico's niet mogelijk is. Bovendien is het uitsluiten van het risico in geen van de strategieën voor 100% mogelijk. De vraag blijft dus: Is het resterende risico acceptabel? Daarmee wordt de discussie over mogelijke alternatieven geopend. Om tot een keuze te komen zijn de volgende scenario's geformuleerd:

Scenario 1: “vermijden risico virus” Het vermijden is niet voor 100% mogelijk. Volgens de risicoanalyse blijft een restrisico bestaan van ongeveer 3%.

57


Dit scenario brengt een aantal aanpassingen van de huidige werkwijze met zich mee. Deze organisatorische veranderingen kunnen grote kosten met zich meebrengen en op weerstand van het personeel stuiten. Bovendien kunnen de functionele mogelijkheden van de gebruikte systemen door het afschaffen van de faciliteit om floppy disks te gebruiken, wel eens ernstig worden beperkt.

Scenario 2: “verminderen risico virus” Preventieve maatregelen kosten geld (aanschaf software, onderhoud en actualisering) en het risico blijft volgens de risicoanalyse voor ongeveer 20% bestaan. Bovendien zullen de technische maatregelen alleen werken als tegelijkertijd richtlijnen en procedures worden opgesteld. Dit laatste is relatief eenvoudig en goedkoop maar de handhaving ervan (naleving, actualisering) vergt aandacht en dus tijd. En tijd is geld. De repressieve maatregelen beperken zich tot eenvoudige software voor het verwijderen van virussen als die worden aangetroffen en organisatorische regelingen. Deze zijn relatief eenvoudig op te zetten en derhalve goedkoop. De invoering, naleving en in stand houding zal evenwel tijd en dus geld vergen. Uit de risicoanalyse blijkt dat een beperking van het risico tot ongeveer 30% mogelijk is.

Scenario 3: “overdragen risico virus” Dit scenario omvat het overdragen van één van de zestien personal computers aan een derde. Het risico blijft dus grotendeels bestaan. Bovendien zal door het externe bureau contractueel worden bepaald dat virussen overgedragen door uitwisseling van gegevens met de "achtergebleven" personal computers tevens een aansprakelijkheid opleveren jegens de overige klanten van het bureau. Overigens zal deze bepaling ook "andersom" werken. De mogelijkheid het risico te verzekeren blijft beperkt tot een financiële dekking van de reconstructie-kosten die na het aantreffen van een virus moeten worden gemaakt. Het blijkt te gaan om een traditionele computerverzekering die echter ook geldt voor de bedreiging virus.

6.3

Het kiezen door het management Menselijk gedrag Een belangrijk onderscheid dat kan worden gemaakt is dat van de mate waarin een gebeurtenis of kwade kans (mede) wordt veroorzaakt door het eigen gedrag van de mens (of organisatie). Negatieve effecten die het gevolg zijn van een onbezonnen actie worden in het spraakgebruik dan ook aangeduid met “eigen schuld”. Omdat er ook positieve effecten zijn van activiteiten kan de volgende matrix worden gemaakt:

58


Invloed en effect bij het optreden van gebeurtenissen

Positieve effecten na het optreden

Negatieve effecten na het optreden (risico’s)

Proceseigenaar heeft invloed

“Goed gedaan”

“Stom, eigen schuld”

Proceseigenaar heeft geen invloed

“Geluk gehad”

“Pech gehad”

De grens tussen gebeurtenissen die optreden als gevolg van menselijk handelen en gebeurtenissen die “spontaan” optreden, is vaak moeilijk te trekken. Toch speelt de verantwoordelijkheid voor handelen en de daaruit voortvloeiende gevolgen een grote rol in onze maatschappij. De “ondernemer” is daarvan een goed voorbeeld. Iemand die “een gat in de markt” ontdekt en daar een onderneming voor opzet, loopt een aantal risico’s. Daarvoor kan hij beloond worden (succes) maar ook gestraft (mislukking). Achteraf kan objectief worden vastgesteld hoe groot het succes of de mislukking was. Vooraf, gaat het om de vraag hoe de risico’s worden beoordeeld en speelt subjectiviteit een doorslaggevende rol. Het antwoord op deze vraag is afhankelijk van degene die hem beantwoord. Er zijn verschillende stakeholders (kapitaalverschaffers, werknemers, leveranciers, afnemers, omwonenden) die allemaal hun eigen beoordeling van mogelijke risico’s hebben. Fouten in de bedrijfsvoering kunnen bijvoorbeeld negatieve effecten opleveren voor de financiers. Voor een afnemer kan dit anders liggen. Als soepel en eenvoudig kan worden overgeschakeld op een alternatieve leverancier, dan zal de afnemer het risico niet belangrijk vinden. Omwonenden kunnen zelfs blij worden als fouten in de bedrijfsvoering ertoe leiden dat zij worden verlost van een hinderlijke bedrijvigheid. Zo bestaat er een verschil in de beoordeling van hetgeen als risico wordt gezien. Zelfs over brand kunnen verschillen van mening bestaan. Dat is altijd een risico, maar blijkt in de praktijk ook wel eens goed uit te komen. Bijvoorbeeld in het geval van onverkoopbare voorraden of een gebouw dat eigenlijk aan vervanging toe was. Maar over het algemeen is brand een kwade kans die evenwel beïnvloed kan worden. Als voorbeeld nemen we brand als gevolg van een menselijke (of procedure) fout bij onderhoudswerkzaamheden. Voor de onderhoudsmonteur als eigenaar van het onderhoudsproces, geldt dat hij zich moet kunnen verantwoorden over de maatregelen die waren getroffen. De opdrachtgever als eigenaar van het de apparatuur die aan een onderhoudsbeurt toe was, geldt dat hij zich over de keuze van de monteur, de inhoud van de verleende opdracht en dergelijke moet kunnen verantwoorden. Voor de gebeurtenis “brand”, bestaan in dit geval dus twee eigenaren met elk hun eigen verantwoordelijkheid met betrekking tot het brandrisico en de getroffen maatregelen.

59


De eigenaar als beslisser: “vrijheid in gebondenheid” De ondernemer opereert niet in een vacuüm. Naast de individuele beslissingen die hij neemt als eigenaar van zijn bedrijfsprocessen, zijn er beslissingen op het gebied van de omgeving waarin hij opereert. Deze institutionele omgeving (branche, markt, regio) kent eigen regels en afspraken waardoor de keuzevrijheid van de individuele ondernemer wordt beperkt. Maar ook de besturen van de instituties zijn niet vrij. Er is ook een maatschappelijke omgeving waarin beslissingen worden genomen. Deze beslissingen, genomen op verschillende niveaus door verschillende instanties, leveren de complexe situatie op waarin door verschillende betrokkenen verschillende risico’s worden onderkend. Op alle niveaus kan de vraag worden gesteld naar de risico’s, ook die gebeurtenissen die het gevolg zijn van de genomen beslissingen (gedrag). Daarbij zijn de volgende vragen van belang: 1. Wie of wat wordt door de negatieve gebeurtenis getroffen? 2. Wie heeft de gevolgen daarvan te dragen en hoe groot zijn die? 3. Welke invloed kan, door het treffen van maatregelen, worden uitgeoefend op de gebeurtenis of de gevolgen?

Het proces van besluitvorming De besluitvorming omtrent risico’s en de maatregelen die worden getroffen, is niet altijd voor iedereen duidelijk. Vaak is daarvoor ook geen reden omdat de beslissing tot stand komt volgens bestaande regels. Degene die zich betrokken voelt bij de beslissing maar buiten het beslissingsproces wordt gehouden, moet dan maar zien dat hij aan zijn trekken komt. Ook daar zijn meestal wel regels voor. De procedure kan echter tijdrovend en kostbaar zijn. Greenpeace heeft duidelijk gemaakt hoe een belanghebbende zich kan opstellen in dergelijke gevallen. Inzicht in de besluitvorming en de argumenten die daarbij worden gehanteerd zijn essentieel voor de acceptatie van de besluiten. Met name bij de risico’s van het toepassen van technologie geldt deze regel. Zo blijkt bij de in gebruik name van het laatste onderdeel van het Deltaplan, de waterkering in de Nieuwe Waterweg, dat er een kans is dat een overstroming door een hoge waterstand in de rivieren (zoals in 1995 en 1996) samenvalt met een overstroming door de Noordzee. In dat geval leidt een afsluiting van de afvoer van het rivierwater tot een overstroming. Deze samenloop van gebeurtenissen wordt evenwel geaccepteerd. Vermoedelijk tot het moment waarop zich een situatie voordoet waarin de samenloop dreigt plaats te vinden. Dan zal moeten worden uitgelegd wie heeft besloten (en op welke gronden) dat voor die situatie geen maatregelen zijn genomen. Het management is als opdrachtgever verantwoordelijk voor de rapportage over een risicoanalyse. Met name de manier waarop met de conclusies en aanbevelingen wordt omgegaan speelt bij rapportage over een risicoanalyse een belangrijke rol. Omdat het management ook verantwoordelijk is voor de regulering van risicodragende activiteiten binnen de organisatie, zal aandacht nodig zijn voor het beoordelen van scenario's en alternatieve strategieën.

60


De houding van het management tegenover risico’s in het algemeen zal ook gelden bij het beoordelen van risico’s in de informatieverzorging. Wordt risico gezien als ongewenst bijverschijnsel van de ondernemingsactiviteiten? Of als iets dat hoort bij het spel? De managementhouding kan tegenover risico's globaal de volgende zijn: de gambler die graag een gokje waagt; de administrative man die zich laat leiden door de zogenaamde calculated risks; de rationalist die alles tot in details en perfectie wil (voor)zien. Sinds de jaren 50 is uit studies veel over het gedrag van beslissers bekend21. Termen als “calculated risk”en “satisficing” geven goed aan hoe menselijke keuzen worden bepaald door de emotionele gevoelens die een situatie oproepen. Een poging om de verschillende situaties van handelen onder onzekerheid te benoemen is gedaan in het onderstaande schema: Samenhang van de elementen en de vermoedelijke uitkomst is bekend

Samenhang van de elementen en de vermoedelijke uitkomst is onbekend

De kansen van de mogelijke uitkomsten zijn bekend

Rationeel gedrag, calculated risk

Onzekerheid leidt tot gebruik van intuïtieve modellen, “gut feeling”

De kansen van de mogelijke uitkomsten zijn onbekend

Onzekerheid leidt tot gebruik van primitieve modellen, calculated guess

Onzekerheid, fuziness geen aanknopingspunten voor gedrag of keuze

Bernstein22 geeft aardige voorbeelden van keuzegedrag. Zo bleek dat de waarde van een goed sterk wordt bepaald door het bezit ervan. Het beschermen (in stand houden) krijgt vaak een grotere aandacht dan het nieuw verwerven. Als gevolg van de houding van het management tegenover risico’s in het algemeen, is dat de neiging bestaat rapportages in de richting van die houding te schrijven. Daardoor bestaat de kans dat de aanbevolen alternatieve reeds gericht zijn op de “risk appetite” van het management. Om aan deze valkuil te ontsnappen, moet de probleemeigenaar gewezen worden op de verantwoordelijkheid voor de risico’s van zijn bedrijfsprocessen. Mits de keuzes zijn gebaseerd op een duidelijk en zo objectief mogelijk inzicht, is de probleemeigenaar vrij om zich over zijn te verantwoorden. 21

Onder andere H.A.Simon, Administrative Behaviour, 1957 en J.G. March and H.A. Simon, Organisations, 1958 22 Peter L. Bernstein, Against the Gods, The remarkable story of risk, John Wiley&Sons, Inc. 1996

61


In Nederland is door Dr.Ir.drs. A.G.M Pijpers RE onderzoek gedaan naar het gebruik van IT door top managers23. Daarbij is hij tot de conclusie gekomen dat de sociale omgeving van topmanagement hen niet “dwingt” tot het gebruik van IT. Een belangrijke stimulans om het wel te doen is ervaring en het gebleken nut. Het werkelijke gebruik van IT door topmanagers stoelt volgens Pijpers op “ervaren nut” en “ervaren gebruiksgemak”. Nu kan niet zomaar worden gezegd dat als iets dergelijks geldt voor IT, het dan ook wel zal gelden voor iets anders. Maar het is altijd verleidelijk parallellen te trekken en te proberen of die zouden kunnen werken. Daarom wordt hier nog een andere onderzoeker opgevoerd (geciteerd door Pijpers) en wel J.P. Kotter24. Deze Kotter heeft onderzocht dat topmanagement de meeste tijd besteed aan het uitwisselen van informatie met anderen. Daarbij wordt door een aantal “tussen functies” zoals stafmensen en secretariaten, informatie geselecteerd, gefilterd, samengevat en geïnterpreteerd ten behoeve van het topmanagement. Risicomanagement op de agenda van de top krijgen kan dus via de volgende twee wegen: Zorg dat risicomanagement een thema wordt in de “uitwisseling van informatie met anderen” door vergelijkingen van “eigen situaties” met anderen (benchmarking) of door persberichten; Zorg dat er invloed komt op de selecterende en filterende functies die informatie doorgeven aan de top.

23 24

Zie bijvoorbeeld “IT-gebruik door topmanagers” in Compact jaargang 28 nummer 6 What Leaders Really Do, Harvard Business School Press, Boston 1999

62


7

Een toepassing Voor een willekeurig aantal organisaties is in 17 jaarverslagen (over 2000 en/of 2001) nagegaan wat er over risico’s wordt gerapporteerd. Jaarverslagen zijn voor de buitenwereld bedoeld en geven dus een trots beeld van het bedrijf. Het succes wordt gepresenteerd en de toekomst van producten en diensten krijgt veel aandacht. Op het gebied van risico’s is het terminologie probleem opvallend. Er worden vele begrippen gehanteerd en op verschillende manier gebruikt. Milieu, veiligheid en gezondheid komen veel voor. In vele gevallen bestaan er aparte verslagen voor milieuaspecten of duurzaamheid in de bedrijfsactiviteiten. Teksten over risicomanagement en processen om risico’s te beheersen komen voor in de verslagen van Akzo Nobel, Corus, DSM, Henkel, KLM, Nutreco, Philips, Shell en Stork. Unilever heeft een speciale Corporate Risk Commissie bestaande uit leden van de Raad van Commissarissen. Akzo Nobel meldt dat managers van operationele units de plicht hebben jaarlijks formeel te rapporteren over een aantal risico’s. DSM, Henkel, KLM, Philips, Shell en Stork vermelden de systematiek voor het analyseren van risico’s en de wijze waarop daarop controle wordt uitgevoerd. Voor veiligheid en milieu hanteert Akzo Nobel een vijftal parameters waarvoor targets zijn gesteld. Sommige bedrijven vermelden expliciet een gedragscode (Philips, TPG) of Corporate Business Principles (Nestlé) waarin risico’s aan de orde worden gesteld in relatie tot het verwachte interne gedrag van het bedrijf. Siemens biedt producten en diensten aan op het gebied van gezondheid, milieu en veiligheid. Een “natuurlijke reden” om aan deze onderwerpen aandacht te besteden. In het jaarverslag wordt gemeld dat Siemens voldoet aan de ISO 140001 norm. Nedlloyd geeft in een verklaring (risicoprofiel) aan dat de interne beheerssystemen gericht zijn op het leveren van betrouwbare informatie voor in –en extern gebruik. Akzo Nobel meldt in het jaarverslag dat naar aanleiding van de gebeurtenissen op 11 september een check heeft plaatsgevonden naar de “security” van alle locaties.

63


Een overzicht van genoemde risico’s (zonder in te gaan op de inhoud of definitie): Nieuwe technologie (4x)

Milieurisico

Afhankelijkheid van leverancier

Projectrisico (2x)

Discontinuïteit productiefaciliteiten

Behoud van talent

Bezettingsgraad productiecapaciteit

Politieke risico (3x)

Niet succesvolle nieuwe producten

Nieuwe toetreders tot de markt

Voorraadrisico

Veranderingen in marktcondities (3x)

Productaansprakelijkheid

Verzekeringsrisico

Toepassing gevaarlijke stoffen (2x)

Juridisch risico’s

Grondstofprijzen (7x)

Sociale risico’s

Grondstof zuiverheid

Verlies van afnemers

Verlies van gegevens

Landenrisico

Ongeautoriseerde toegang tot systemen en Beperkingen door overheden (2x) gegevens Concurrentie Dierziekten (2x) Prijserosie Voedselveiligheid Korte levenscycli producten Aandelenkoersen Internationale allianties Exportrisico Catastrofe risico Financiële risico’s Portfolio risico Wettelijke risico’s Technische risico’s Uit het jaarverslag van Henkel (2001) is het volgende citaat: Installation of appropriate hardware and software in computer systems minimizes the risk of unauthorized access to systems and data, and the risks of data being lost; Security strategy includes detailed emergency response plans.

64


Opdracht 8: Vragen Wat vindt u van het rapporteren over risico’s in jaarverslagen? (denk aan de volgende aspecten): Vorm en inhoud van de rapportage? Voor wie is de rapportage bedoeld? Vat de opsomming van risico’s samen in een beperkte “handige” groepering (maximaal 5 klassen). Henkel is de enige is die iets specifieks meldt over “Informatiebeveiliging”. Welke vragen doet de tekst bij u opkomen?

65

Risicomanagement en informatiebeveiliging

Recommend Documents