1
De optimale risicomanagementstrategie
Risicomanagementbeslissingsmodel naar aanleiding van een case study bij een van deleidende informatiebeveiligingsspecialisten van Nederland
Auteur | Kees Stammes
Studentnummer | 10886893
Soort | Bachelorthesis Informatiekunde
Universiteit | Universiteit van Amsterdam
Begeleider | Dr. V.M. Dirksen
Tweede lezer | Drs. Toon Abcouwer
Datum | 22-08-2017
2
Abstract
Organisaties zijn afhankelijk geworden van informatiesystemen en juist deze informatiesystemen zijn het meest kwetsbaar. Er zijn zowel fysieke als digitale risico’s, waarbij de impact van deze risico’s grote gevolgen kunnen hebben voor de bedrijfsvoering. Een goede informatiebeveiliging is daarom belangrijk. Voor het inschatten en van de risico’s en de impact van deze risico’s is een
risicomanagementstrategie nodig. Deze kan door middel van rules based methodieken of risk based methodieken uitgevoerd worden. Deze case study bij een van de leidende
informatiebeveiligingsspecialisten van Nederland toont aan dat een combinatie van beide methodieken ook een mogelijkheid is. Het kiezen voor een juiste risicomanagementstrategie is afhankelijk van de eigenschappen van een organisatie en de vereisten aan een organisatie. Het blijkt uit eerder onderzoek dat de keuze voor een risicomanagementstrategie niet hierop wordt
gebaseerd, maar op gevoel. Dit heeft geleid tot tegenvallende resultaten van informatiebeveiliging. Dit onderzoek heeft daarom een beslissingsmodel opgesteld, waarbij rekening wordt gehouden met de eigenschappen van de verschillende risicomanagementstrategieën. Ook wordt er door middel van een Security Maturity Model rekening gehouden met de eigenschappen van en vereisten aan een organisatie. Op basis van het maturity niveau, de organistiedoelen en het niveau waarop
risicomanagementbeslissingen binnen de organisatie worden genomen kan er een goede
onderbouwde keuze voor een risicomanagementstrategie worden genomen, waardoor de resultaten van informatiebeveiliging verbeteren.
3
Inhoudsopgave
1. Introductie ... 4
2. Theoretisch kader ... 5
2.1 Risicomanagement ... 5
2.2 De rol van raamwerken ... 6
2.3 Risk based risicomanagement ... 7
2.3.1 ISO27001 ... 7
2.4 Rules based risicomanagement ... 9
2.4.1 CIS Critical Security Controls ... 10
2.5 Risk vs Rules based risicomanagement... 10
2.6 Security Maturity Model ... 11
3. Onderzoeksmethode ... 12
3.1 Interviews ... 13
3.2 Participanten ... 13
3.2 Betrouwbaarheid & Validiteit ... 13
4. Resultaten ... 14
4.1 Risk vs Rules based risicomanagement... 15
4.2 Combinatie van Risk & Rules based risicomanagementstrategieën... 15
4.3 Redenen voor informatiebeveiliging ... 15
4.4 Intrinsieke motivatie ... 16
4.5 Strategisch, tactisch of operationeel niveau ... 16
4.6 Bewustzijn ... 17
4.7 Security Maturity Model ... 17
5. Conclusie ... 19
6. Discussie ... 20
7. Bijlagen ... 22
7.1 Vragenlijst interview ... 22
7.2 Codeboek ... 22
7.3 Security Maturity Model ... 23
4
1.
Introductie
Organisaties maken gebruik van elektronische en menselijke netwerken welke informatie bevatten, creëren, reproduceren en verspreiden. Deze organisaties zijn hierdoor locatie en structuur
onafhankelijk geworden en worden continu beïnvloed door de verandering van de omgeving. Om zo efficiënt en effectief mogelijk te zijn, maken de organisaties gebruik van computergestuurde
informatiesystemen. De informatiesystemen zijn een belangrijke factor voor elke organisatie, maar juist deze informatiesystemen blijken nu de meest kwetsbare systemen van een organisatie (Dhillon & Backhouse, 2000).
Informatiesystemen kennen zowel fysieke als digitale risico’s. Terroristische aanvallen, branden, overstromingen, aardbevingen of andere natuurrampen kunnen belangrijke documenten of volledige informatievoorzieningsfaciliteiten vernietigen. Maar ook diefstal van bedrijfsinformatie of het verlies van informatie door middel van onverwachte computerproblemen kunnen ervoor zorgen dat bedrijven ten onder gaan (Saint-Germain, 2005). Aanvallen op informatiesystemen worden steeds geavanceerder. Het is niet meer de “zolderkamer hacker” die voor dreiging zorgt, maar de georganiseerde criminaliteit, hacktivisten, private organisaties of zelfs staten zijn de aanvallers van nu. Deze actoren hebben verschillende doelen, zoals beïnvloeding, verstoren, verwerven van informatie of geldelijk gewin. Aanvallen worden gepleegd door onder andere gebruikt te maken van ransomware, Ddos-aanvallen of spionagesoftware (CSBN, 2017). Nederland heeft één van de meest ICT-intensieve economieën ter wereld, waardoor Nederland en de Nederlandse bedrijven een aantrekkelijk doelwit vormen (Munnichs, Kouw & Kool, 2017). Het onderzoek van beveiligingsbedrijf Symantec (2017) bevestigt dit. In het Internet Security Threat Report staat Nederland wat betreft ransomeware aanvallen op plek twee wereldwijd en wanneer het over alle soorten aanvallen gaat staat Nederland op de zesde plek.
Deze risico’s kunnen niet meer genegeerd worden. Risicomanagement zou een belangrijke plaats moeten innemen binnen iedere organisatie. Risicomanagement is het identificeren en kwantificeren van risico’s en is vooral een preventief proces. Er wordt bij risicomanagement een inschatting gemaakt van de kans dat een risico voorkomt en de impact van de gevolgen hiervan op de organisatie. Het belang van het inschatten van de impact is belangrijk bij risicomanagement. Hoe beter een organisatie de risico’s en de impact ervan kan inschatten, hoe veiliger de organisatie is. Informatiebeveiliging bestaat dus vooral uit preventieve maatregelen met als doel om de continuïteit van een organisatie te waarborgen en de gevolgen van incidenten tot een acceptabel niveau te beperken (Sofroniou, 2009).
Risicomanagement in informatiebeveiliging kan worden uitgevoerd op basis van verschillende methodieken. Bekende methodieken als de ISO27001, COBIT, CIS Critical security controls en het NIST Framework worden hiervoor veel gebruikt. Op basis hiervan kunnen beveiligingsmaatregelen worden genomen, zodat er een aanvaardbaar niveau van
informatiebeveiliging binnen een organisatie kan worden bereikt. Deze methodieken kunnen onderverdeeld worden in twee strategieën, namelijk rules based en risk based
risicomanagementstrategieën (Tsohou et al., 2010). Rules based risicomanagement schrijft een set van maatregelen voor, zodat de meest bekende risico’s worden gemitigeerd. Risk based
risicomanagement gaat uit van risico’s en de impact van deze risico’s en zijn specifiek voor de organisatie en de situatie waarin de organisatie zich verkeerd. Het kiezen van de juiste
risicomanagementstrategie is afhankelijk van de eigenschappen en vereisten aan de organisatie. Er moet onder andere rekening worden gehouden met de methodologie, data en datacollectie
5
methode, kosten, benodigde kennis, software ondersteuning, complexiteit en de mogelijkheid om de beveiligingscriteria te coördineren (Sajko, 2010). Dit betekent dat het kiezen van de juiste
risicomanagementstrategie een ingewikkelde procedure is, waarbij veel factoren van invloed zijn. Hedian & Silva Neto (2014) kwamen in hun onderzoek tot de conclusie dat zo’n procedure voor het selecteren van de juiste risicomanagementstrategie in weinig organisaties werd toegepast. Er werd voornamelijk op gevoel gekozen voor een risicomanagementstrategie. Dit resulteerde in niet gerealiseerde doelen en tegenvallende resultaten van informatiebeveiliging. Het doel van dit onderzoek is dan ook om de eigenschappen en verschillen van de risicomanagementstrategieën te bepalen, welke een basis vormen voor een beslissingsmodel voor het kiezen van de meest geschikte risicomanagementstrategie voor een organisatie. Dit wordt gedaan aan de hand van de volgende onderzoeksvraag:
“Op basis van welke criteria kan een organisatie voor een rules based, risk based of een combinatie van rules en risk based risicomanagementstrategie kiezen?”
Het onderzoek zal worden uitgevoerd bij een van de leidende informatiebeveiligingsspecialisten van Nederland. Op basis van theoretisch onderzoek, data-analyse van interne documenten en interviews wordt er getracht een antwoord te vormen op de onderzoeksvraag. Het uiteindelijke doel is om een beslissingsmodel op te stellen, waarbij rekening wordt gehouden met de criteria waaraan een
organisatie moet voldoen, zodat de keuze van de juiste risicomanagementstrategie verbeterd wordt.
2. Theoretisch kader
Allereerst zal het begrip risicomanagement worden uitgewerkt en worden uitgelegd waarom er voor bepaalde definities wordt gekozen. Vervolgens wordt de rol van frameworks besproken, waarin de tweedeling tussen risk based en rules based risicomanagement naar voren komt. Hierna worden de eigenschappen van de risk based en rules based risicomanagementstrategieën uitgebreid
beschreven, waardoor de verschillen tussen beide risicomanagementstrategieën scherp naar voren komen. Deze verschillen vormen de basis voor het beslissingsmodel van dit onderzoek.
2.1 Risicomanagement
Risico wordt door Moschandreas en Karuchit (2005) omschreven als de kans op een gebeurtenis en de impact hiervan. Het is voor elk bedrijf van belang om in te schatten welke risico’s er bestaan voor het bedrijf en de organisatie en hoe hier mee moet worden omgegaan. Dit wordt ook wel
risicomanagement genoemd. Jahner & Krcmar (2005) omschrijven risicomanagement als het
bedrijfsbrede proces van identificeren, analyseren, controleren en monitoren van interne en externe risico’s welke de strategische en operationele continuïteit van het bedrijf in gevaar kunnen brengen (pp. 3328). Risicomanagement is ontstaan vanuit noodzaak. De financiële schandalen in de jaren ‘90 zorgde voor het in gevaar brengen van de continuïteit van onder andere financiële instanties, waardoor er wet- en regelgeving voor risicomanagement is opgesteld (McNeil, Frey & Embrechts, 2015). Deze beheersmaatregelen zorgen ervoor dat organisaties bewust met risico’s omgaan. Aangezien risico’s onvermijdbaar zijn en elke organisatie actie moet ondernemen om deze risico’s te managen op een manier waarop het niveau van de risico’s aanvaardbaar is, is het doel van
risicomanagement om een optimaal antwoord op de risico’s te hebben. Hierbij worden risico’s gecategoriseerd naar gevaar. De geschikte manier van antwoorden op het risico wordt bepaald op de
6
aard, grote en complexiteit van het risico (Sofroniou, 2009). Een risicomanagementstrategie zal leiden tot minder ontwrichting in activiteiten, vermindering van onzekerheid in relatie tot verandering en verbeterde beslissingen in relatie tot evaluatie en selectie van alternatieve
strategieën. Dit betekent dat risicomanagement bijdraagt aan het waarborgen van de continuïteit in de organisatie (Klinke & Renn, 2002).
Er zijn verschillende soorten risicomanagement. Zo is er bijvoorbeeld financieel
risicomanagement, software risicomanagement en supply chain risicomanagement. Dit onderzoek heeft betrekking op informatiebeveiliging risicomanagement. Informatiebeveiliging is het behouden van de vertrouwelijkheid, integriteit en beschikbaarheid van informatie (ISO27001, 2013).
Informatiebeveiliging risicomanagement richt zich op het managen van de informatiebeveiliging risico’s. Aangezien de informatietechnologie als ook de informatie zelf een essentieel deel van een organisatie is geworden, is het managen van risico’s in de informatiebeveiliging voor een organisatie van belang geworden (Klinke & Renn, 2002). Het doel van informatiebeveiliging is het beschermen van IT bezittingen, zoals data, hardware, software, personeel en faciliteiten tegen alle externe (zoals natuurrampen) en interne (zoals technische mankementen, sabotage en ongewenste toegang) bedreigingen, zodat de kosten van verlies die gerealiseerd worden door deze bedreigingen minimaal zijn (Gottfried, 1989 pp. 87). Informatiebeveiliging kan zelfs een strategische succesfactor voor een bedrijf worden, aangezien risicomanagement een belangrijk instrument kan zijn om doelstellingen in kaart te brengen en te realiseren en een driver kan zijn voor de ontwikkeling van de organisatie (Klinke & Renn, 2002). Echter wanneer de informatiebeveiliging risicomanagementstrategie niet aansluit op de eigenschappen van en vereisten aan de organisatie en de omgeving waarin de organisatie zich verkeerd kan dit leiden tot een gevaar voor de continuïteit van de organisatie (Shamala, Ahmad & Yussoff, 2013; Massacci, Ruprai, Cllinson & Williams, 2016). Dit onderzoek probeert door middel van het opstellen van een beslissingsmodel de meest geschikte
risicomanagementstrategie voor een organisatie te bepalen, rekening houdend met de
eigenschappen van en vereisten aan een organisatie en de omgeving waarin de organisatie zich verkeerd. Hierdoor zullen de voordelen van een juiste risicomanagementstrategie worden benut en de nadelen van een onjuiste risicomanagementstrategie achterwege blijven.
2.2 De rol van raamwerken
Van Wessel (2010) geeft aan dat standaardisatie een manier is om de meest bekende effectieve methode en de voorwaarden die aan producten of diensten gesteld worden te bevorderen. Tegelijkertijd is het ook een manier om voor beoordelingsmechanismen te zorgen, waaraan producten of diensten moeten voldoen om aan de standaard te voldoen. Informatiebeveiliging systeemstandaarden zorgen voor vele voordelen. Ze zorgen voor het overeenkomen van terminologie, zorgen voor algemeen begrip over veiligheidsmaatregelen en zorgen ervoor dat geïmplementeerde veiligheidsmechanismen overeenkomen met de wereldwijd geaccepteerde regelementen en praktijken. Hierdoor bereiken geïmplementeerde systemen, welke aan deze standaarden voldoen, een algemeen geaccepteerd niveau van veiligheid (Benslimane, Yang & Bahli, 2016). Standaarden kunnen dus zorgen voor kwaliteit. Het zijn echter hulpmiddelen, het wil dus niet zeggen dat wanneer de informatiebeveiliging via een standaard wordt toegepast, deze altijd op orde is. Een nadeel van standaarden is dat deze in de praktijk als te complex kunnen worden ervaren (ENISA, 2006). Het is daarom voor dit onderzoek van belang om bij het beslissingsmodel voor het selecteren van de meest geschikte methodiek rekening te houden met de complexiteit van een standaard.
7
Er bestaan meerdere nationale, internationale en regionale
informatiebeveiligingsstandaarden en methodieken. Zo is er bijvoorbeeld het bekende ISO27001, het NIST Framework, de CIS Critical Security Controls en de COBIT standaard. ISO27001 en het NIST Framework worden het meest gehanteerd, waarbij ISO27001 in Europa het meest toegepast wordt en het NIST Framework in de Verenigde Staten het meest wordt gebruikt (Williams, 2013). De standaarden en methodieken kunnen in twee risicomanagementstrategieën worden opgedeeld, rules based risicomanagementstrategie en risk based risicomanagementstrategie (Tsohou et. al, 2010).
2.3 Risk based risicomanagement
Blakley, McDermott en Geer (2001) schrijven dat een risk based risicomanagementstrategie uit gaat van risico’s en de impact die deze risico’s kunnen hebben. De risico’s vormen een expliciete
koppeling tussen de business en de IT. De uitkomst van een risk based risicomanagementstrategie is een geprioriteerde lijst met risico’s, specifiek voor de situatie waarin een organisatie zich verkeert. Een organisatie kan hiermee bepalen welke risico’s zij wel of niet willen afdekken, oftewel een kosten baten analyse uitvoeren over de risico’s en kosten voor het mitigeren hiervan. Risk based risicomanagementstrategieën worden door middel van een top-down aanpak in de organisatie toegepast (ENISA, 2006). Een risk based methodiek zoals bijvoorbeeld ISO27001 behuist vele potentiele controlemechanismen, welke toegepast kunnen worden in een informatiebeveiliging managementsysteem, waarmee organisaties zichzelf kunnen meten en beoordelen zodat zij een gewenst niveau van veiligheid bereiken. (Tsohou et al., 2010).
Er zijn verschillende Risk based risicomanagementstrategieën. Deze bestaan uit verschillende processen, afhankelijk van welke theorie of methodiek deze zijn afgeleid. Echter omvatten deze altijd vier onderdelen: risico identificatie, risico analyse, risico behandeling en risico monitoring
(Bandyopadhyay, Mykytyn & Mykytyn, 1999). Aan enkele risk based risicomanagementstrategieën worden nog extra onderdelen toegevoegd. Dit zijn de onderdelen risico evaluatie,
risicocommunicatie en een contextanalyse (ENISA, 2006; Aloine, Dulmin & Mininno, 2007). Hierbij kunnen risico analyse, risico evaluatie en risico identificatie weer als een apart onderdeel worden gezien. Dit is een continu risicobeoordelingsproces (ISO27001, 201). ISO 27001 (2013) heeft nog een extra onderdeel: het risicoaanvaardingsproces.
2.3.1 ISO27001
Het meest gehanteerde risk based risicomanagement methodiek is de ISO27001 (2013). ISO27001 (2013) bestaat uit twee hoofdprocessen. Het risicocommunicatieproces is een van de twee hoofdprocessen. Dit is een essentieel onderdeel voor risicomanagement binnen een organisatie, aangezien het een onderdeel van de bedrijfscultuur moet zijn. Communicatie en het creëren van bewustzijn binnen de organisatie is belangrijk. Het is van belang om met alle stakeholders een open discussie te voeren, zodat iedereen elkaars perspectief begrijpt en hierdoor de beste resultaten van risicomanagement kan worden behaald. Wanneer risico’s en de behandeling van deze risico’s bekend zijn, is het van belang om deze naar de verantwoordelijke managers in de organisatie door te geven (Gikas, 2010).
Het risicomanagementproces is het tweede hoofdproces van ISO27001 (2013). Hierbinnen vallen de andere onderdelen. Het risicomanagementproces begint met een contextanalyse. Hierin wordt de interne en externe omgeving waarin de organisatie zich opereert gespecificeerd. De interne
8
omgeving bestaat onder andere uit de organisatiestructuur en cultuur, de belangrijkste bedrijfsdoelen, de bedrijfsstrategie en de bezittingen zoals kapitaal, mensen en systemen. De externe omgeving bestaat onder andere uit de sociale en culturele condities, de externe
stakeholders, de wet- en regelgeving, de concurrentie en het politieke milieu. Vervolgens wordt de relatie tussen de bedrijfsdoelen en de interne en externe omgeving gespecificeerd. Het is hierbij van belang om de kansen en bedreigingen die zich voordoen goed te evalueren. In de contextanalyse worden ook het bereik en de grenzen van het risicomanagementproces aangegeven. Hieronder valt bijvoorbeeld het definiëren van de rollen en verantwoordelijkheid binnen de organisatie wat betreft het risicomanagementproces. Als laatste wordt er in de contextanalyse de criteria waaraan de risico’s worden geëvalueerd bepaald (ENISA, 2006).
Na de contextanalyse volgt de
risicobeoordeling. Risicobeoordeling wordt door Syalim, Hori & Sakurai (2009, pp 1) omschreven als het proces van het systematisch identificeren van beveiligingsrisico’s, het inschatten van de kans op herhaling en impact van deze beveiligingsrisico’s en de maatregelen die genomen moeten worden om de impact zo klein mogelijk te houden. De uitkomst is een lijst met bedreigingen, kwetsbaarheden, risiconiveau en
controlemogelijkheden. ISO27001 (2013) stelt dat risicobeoordeling de waarde van
informatiebezittingen bepaalt, de bedreigingen die zowel bestaan als kunnen bestaan identificeert, de bestaande controlemiddelen en welk effect deze hebben op de risico’s identificeert, de potentiele consequenties bepaalt en de volgorde van importantie van de risico’s bepaalt door middel van de risico’s tegen de risico evaluatiecriteria af te zetten. De evaluatiecriteria zijn in de
contextanalyse zijn gemaakt.
Bij het analyseren van de risico’s wordt er
gekeken naar alle mogelijke bedreigingen. Deze kunnen van natuurlijke of van menselijk aard zijn en kunnen opzettelijk of per ongeluk van aard zijn. Risico’s kunnen van binnen of buiten de organisatie komen. Bij het identificeren van risico’s is het van belang dat er geen risico’s worden uitgesloten. Ook risico’s die al bekend zijn bij de organisatie mogen niet worden uitgesloten (Gui, Haron, Kristanto & Adrian, 2010).
Wanneer alle mogelijke risico’s bekend zijn, wordt er vervolgens een inschatting van de consequenties van deze risico’s gemaakt. Het risiconiveau kan worden bepaald door gebruik te maken van een statische analyse waar de impact en kans op voorkomen wordt gebruikt voor calculatie. De risicoschatting kan kwalitatief, kwantitatief of door een combinatie hiervan worden uitgevoerd (ENISA, 2006).
Wanneer de risico analyse voldaan is kan er op basis van deze output een evaluatie van de risico’s worden gemaakt. In deze fase wordt er besloten welke risico’s als eerst aangepakt moeten worden en welke niet aangepakt te hoeven worden. In sommige gevallen kan er besloten worden tot verder onderzoek van het risico. Na de risico evaluatie volgt de risicobehandeling. Risico’s kunnen
9
worden gemitigeerd, geaccepteerd, vermijdt of verplaatst. Er kan nu ook onderscheid worden gemaakt tussen bruto en netto risico’s. Bruto risico’s zijn risico’s zonder beheersmaatregelen. Bij een netto risico wordt er met de beheersmaatregelen rekening gehouden.
Het ISO27001 risicomanagementproces is een continu proces. In een volgende herhaling van het volledige proces worden alle risico’s weer opnieuw bekeken en mogelijk nieuwe risico’s
toegevoegd. Ook wordt er gekeken of maatregelen die genomen zijn, afdoende zijn om de risico’s te neutraliseren (ISO27001, 2013).
Eloff & Eloff (2003) schrijven dat een risk based risicomanagementstrategie wordt uitgevoerd door middel van een informatiebeveiliging managementsysteem. Een informatiebeveiliging
managementsysteem kan worden omschreven als een managementsysteem wat wordt gebruikt voor het oprichten en onderhouden van een veilige informatieomgeving. Het informatiebeveiliging
managementsysteem richt zich op de implementatie en onderhoud van processen en procedures wat betreft het managen van informatietechnologiebeveiliging. Hieronder valt identificatie van de behoefte voor informatiebeveiliging, implementatiestrategieën om aan deze behoeftes te voldoen, het meten van resultaten en het verbeteren van zowel de beveiligingsstrategieën als ook het informatiebeveiliging managementsysteem zelf (Eloff & Eloff, 2003, pp 130). Hierbij wordt vaak gebruikt gemaakt van de Plan, Do, Check en Act cyclus. De ISO27001 risicomanagement methodiek maakt hier ook gebruik van. Dit is een continue cyclus, waarbij tijdens de Plan fase er een
Informatiebeveiliging risicomanagementsysteembeleid wordt opgezet, waarbij de doelen, processen en procedures moeten zorgen voor het managen van risico’s en het verbeteren van de
informatiebeveiliging. Deze moeten overeenstemmen met het algemene beleid van de organisatie. In de Do fase worden deze doelen, processen en procedures van het informatiebeveiliging
managementsysteem geïmplementeerd. Tijdens de Check fase worden de resultaten van de doelen, processen en procedures van het informatiebeveiliging managementsysteem vastgesteld en waar dat kan gemeten. Vervolgens worden deze gerapporteerd aan het management, zodat ze kunnen
worden beoordeeld. De laatste fase is de Act fase, hierin worden zowel preventieve als correctieve acties op basis van de beoordeling van het management genomen, zodat er een continue verbetering van het informatiebeveiliging managementsysteem kan plaatsvinden (Fenz, Goluch, Ekelhart, Riedl & Weippl, 2007).
2.4 Rules based risicomanagement
Een rules based risicomanagementstrategie gaat uit van een verzameling principes, doelstellingen en beveiligingsrichtlijnen welke de basis vormen voor informatiebeveiliging. Door middel van een bottum-up aanpak worden de minimale beveiligingsmaatregelen uitgevoerd op het gebied van management en operationele en technische beveiligingsmaatregelen om zo de risico’s te
verminderen tot een acceptabel niveau bereikt is (Khambhammettu, Boulares, Adi & Logrippo, 2010). Er worden een aantal algemeen geldende beveiligingsmaatregelen getroffen, waarmee de meest voorkomende en meest ernstige risico’s worden afgedekt. De gedachte hierachter is dat deze beveiligingsmaatregelen genoeg zijn om aanvallers tegen te houden, aangezien de meeste aanvallers een economisch motief hebben en de voorgeschreven beveiligingsmaatregelen ervoor zorgen dat er te veel tijd en moeite in de aanval moet worden gestoken om succesvol te zijn en er genoeg andere gemakkelijkere doelen zijn (Duncan & Whittington, 2014). Bij het gebruik van een rules based risicomanagementstrategie wordt er geacht een aantal maatregelen te nemen ongeacht of dit een relevant risico is voor het bedrijf. Dit kan tot een overmaat aan maatregelen zorgen. Het NIST SP800
10
Framework en de CIS Critical Security Controls zijn hier een goed voorbeeld van (Khambhammettu et al., 2010).
2.4.1 CIS Critical Security Controls
De CIS Critical Security Conrols wordt opgesteld door het Center for Internet Security (CIS). Deze rules based risicomanagementstrategie is ontwikkeld zodat organisaties zich kunnen focussen op de meest fundamentele en waardevolle acties om de informatiebeveiliging op orde te hebben. De waarde van deze 20 controls wordt omschreven als het vermogen van organisaties voor het voorkomen, waarschuwen en antwoorden op aanvallen. De controls zijn technische maatregelen ontwikkeld op basis van de gecombineerde kennis van experts vanuit elk deel van het ecosysteem (bedrijven, overheden, individuen) en vanuit elke sector en zorgen voor het detecteren, voorkomen, antwoorden en mitigeren van schade van de meest voorkomende tot de meest geavanceerde aanvallen (CIS, 2016). De controls zorgen ervoor dat organisaties de huidige security staat kunnen beoordelen en verbeteren. Het is een set van 20 controls, waarbij er onderscheid wordt gemaakt tussen de eerste 5 controls en de overige 15. Controls 1 tot en met 5 zijn de fundamentele controls en zijn essentieel voor succes en worden ook geacht om als eerste uit te worden gevoerd. Het gaat hierbij om het inventariseren van geautoriseerde en ongeautoriseerde apparaten, het inventariseren van geautoriseerde en ongeautoriseerde software, het zorgen voor beveiligde configuraties voor hardware en software op mobiele apparaten, laptops, workstations en servers, het zorgen voor een continue kwetsbaarheidsbeoordeling en het gecontroleerde gebruik van administrator privileges.
2.5 Risk vs Rules based risicomanagement
Een voordeel van een risk based risicomanagementstrategie is dat het een overzicht geeft van de risico’s en de impact van de risico’s die specifiek voor de organisatie zelf zijn (ENISA, 2006). Ook kan er zelf worden bepaald welke actie er wordt ondernomen op de risico’s. Risico’s kunnen worden gemitigeerd, geaccepteerd, vermijdt of verplaatst (Tsohou et al, 2010). Een risk based
risicomanagementstrategie is een continu proces en wordt op basis van een informatiebeveiliging managementsysteem uitgevoerd. Dit betekent dat het volledige proces continu wordt doorlopen zodat de organisatie een actuele stand van zaken heeft en snel kan inspelen op kansen en
bedreigingen (Aloine et al, 2007). Wanneer een risk based risicomanagementstrategie door middel van een methodiek, zoals ISO27001, kan een organisatie hiermee door middel van een certificaat aantonen dat de informatiebeveiliging op orde is. In de praktijk kan dit voordelen ten opzichte van de concurrentie opleveren (ENISA, 2006).
Rules based risicomanagementstrategieën hebben als voordeel dat er wordt voorgeschreven hoe een maatregel moet worden ingevoerd. Er wordt uitgegaan van een vaste set maatregelen en wanneer deze door een organisatie zijn ingevoerd, wordt er een mate van veiligheid gegarandeerd. Deze maatregelen zijn snel uitvoerbaar, waardoor een organisatie op het gebied van
informatiebeveiliging snel resultaat kan halen (Sajko, 2010).
Risk based risicomanagementstrategieën zijn dus complexer en grondiger dan rules based risicomanagementstrategieën. Hierdoor zijn deze risicomanagementstrategieën in de praktijk ook arbeids- en tijdsintensiever, waardoor de kosten van uitvoering ook hoger zullen zijn. Risk based risicomanagementstrategieën kunnen ook als subjectief en inconsistent worden gezien. Er wordt door een organisatie zelf bepaald hoe een risico wordt ingeschat, waardoor resultaten niet altijd kunnen worden gereproduceerd (Von Solms, 2000). Ook wordt er bij een risk based
risicomanagementstrategie door een organisatie zelf bepaald welke actie er op risico’s worden genomen. Een organisatie kan daardoor een verkeerde keuze maken, door bijvoorbeeld een risico te
11
accepteren, welke de continuïteit van de organisatie in gevaar kan brengen. Bij een risk based risicomanagementstrategie wordt er beschreven wat er door een organisatie moet worden gedaan om aan de standaard te voldoen, er wordt niet voorgeschreven hoe maatregelen moeten worden ingevoerd (Duncan & Whittington, 2014).
Rules based risicomanagementstrategieën worden gezien als checkbox
risicomanagementstrategieën. De set van maatregelen welke door een organisatie genomen moeten worden, worden één voor één geïmplementeerd en afgevinkt en verder wordt er niets meer mee gedaan. Organisaties achten zichzelf veilig, maar vergeten hierbij zelf kritisch na te denken of alle risico’s wel zijn afgedekt. Hierdoor wordt er niet goed begrepen hoe cyberrisico’s zich verhouden tot organisatorische risico’s (Moore, Dynes & Chang, 2015). Er wordt hierdoor ook niet begrepen dat risicomanagement een continu proces is (Sajko, 2010). Rules based risicomanagementstrategieën kunnen ook tot een overmaat van maatregelen zorgen. Dit kan voorkomen wanneer een organisatie alle maatregelen implementeert, zonder hierbij zelf na te denken of ze specifiek voor de organisatie zelf nodig zijn (Khambhammettu et al., 2010).
Rainer, Snyder en Carr (1991) omschrijven het doel van informatiebeveiliging als het vermijden of verkleinen van verliezen door middel van de beste combinatie van
beveiligingsmaatregelen te selecteren en te implementeren. Er is geen één geldende oplossing voor het inrichting van de beveiliging en er zal per situatie moeten worden gekeken welke combinatie van maatregelen er nodig is om het optimale beveiligingsresultaat te behalen. Dat betekent voor dit onderzoek dat er ook de mogelijkheid van een combinatie van risicomanagementstrategieën moet worden onderzocht.
2.6 Security Maturity Model
Het kiezen voor de juiste risicomanagementstrategie is situatie afhankelijk. Het is afhankelijk van de organisatie, de eigenschappen van en vereisten aan de organisatie en de omgeving waarin de organisatie zich verkeerd (Shamala, Ahmad & Yussoff, 2013; Massacci, Ruprai, Cllinson & Williams, 2016). Hedian & Silva Neto (2014) kwamen in hun onderzoek tot de conclusie dat een procedure voor het selecteren van de juiste risicomanagementstrategie in weinig organisaties werd toegepast. De keuze van de risicomanagementstrategie kwam voort uit de voorkeur van de directie en werd vooral op gevoel gemaakt. Hierbij werd geen rekening gehouden dat een keuze voor een
risicomanagementstrategie implicaties voor de toekomst kan opleveren. Er werd niet bij stilgestaan dat een goede uitvoering van het risicobeoordelingsproces een continu aanpassingsproces aan de huidige situatie van de organisatie is, waardoor de lange en korte termijn doelen beïnvloed kunnen worden en er tegenvallende resultaten op het gebied van informatiebeveiliging gescoord. Sajko (2010) geeft ook aan dat het selectieproces voor de keuze van de juiste risicomanagementstrategie belangrijk is. Hierbij moet rekening gehouden worden met de verschillende eigenschappen van en vereisten aan de organisatie. Er moet rekening gehouden worden met de methodologie, data en datacollectie methode, kosten, benodigde kennis, software ondersteuning, nauwkeurigheid en objectiviteit, risicomatrix, complexiteit en de mogelijkheid om de beveiligingscriteria te coördineren. Het ontwerp en de implementatie van een risicomanagementstrategie in een organisatie wordt altijd beïnvloed door verschillende delen van de organisatie. Zo heeft de missie en visie van het bedrijf invloed op het risicomanagement, maar ook de producten en diensten die het bedrijf levert. Het management en de bedrijfsprocessen hebben ook invloed op het risicomanagement als ook de lokale omgeving en de huidige stand van de regelgeving (ENISA, 2006). In dit onderzoek worden alle
12
gehouden met verschillende eigenschappen van de organisatie en de vereisten aan een organisatie. Het model waar in dit onderzoek gebruik van wordt gemaakt is opgemaakt op basis van het DNB Security Model en bestaat uit 6 onderdelen waarop een organisatie wordt ingeschaald, namelijk Strategie & Beleid, Organisatie, Mensen, Processen, Technologie en Faciliteiten.
Het security maturity model onderscheidt zes niveaus:
0. Non Exist, er is geen documentatie en er is geen bewustzijn van informatiebeveiliging. 1. Initial, is chaotisch en ad hoc. Problemen worden pas opgelost als ze zich voordoen. Dit is het
niveau dat iedere organisatie aankan.
2. Repeatable, Dit is het niveau waarbij de organisatie zover geprofessionaliseerd is (bijvoorbeeld door het invoeren van projectmanagement) dat bij het ontwikkelproces gebruik wordt gemaakt van de kennis die eerder is opgedaan. Beslissingen worden dus genomen op basis van ervaring.
3. Defined, Er is een informatiebeveiligingsplan opgesteld en er is een governance structuur. Er zijn resources beschikbaar. Dit is het niveau waarbij de belangrijkste processen zijn
gestandaardiseerd.
4. Managed, is het niveau waarbij de kwaliteit van het ontwikkelproces wordt gemeten zodat het kan worden bijgestuurd. Er is één keer een plan, do, check & act cyclus uitgevoerd en er zijn interne reviews. Ook worden er kritische prestatie indicatoren toegevoegd.
5. Optimizing, is het niveau waarbij het ontwikkelproces als een geoliede machine loopt en er alleen maar sprake is van fijne afstemming. Er is een volledig implementatie beleid in werking inclusief een jaarlijkse plan, do, check & act cyclus en een compleet
informatiemanagementsysteem.
Op basis van deze schaal kan er worden bepaald wat de beste aanpak is voor het realiseren van een goede informatiebeveiliging, een rules based risicomanagementstrategie, een risk based risicomanagementstrategie of een combinatie hiervan. Het Security Maturity Model is als bijlage bijgevoegd.
3. Onderzoeksmethode
Deze case study is een kwalitatief onderzoek dat op basis van semi gestructureerde interviews bij Dearbytes zal worden uitgevoerd. Dearbytes is een van de leidende
informatiebeveiligingsspecialisten van Nederland. Ook kan er worden gesproken van een inductief onderzoek. Er wordt van een specifieke observatie bij Dearbytes uitgegaan, waarop een generalisatie wordt vastgesteld (Arthur, 1994).
Er zijn twee verschillende manieren van aanpak op het gebied van risicomanagement welke beide voor- en nadelen hebben. Het is van belang om te onderzoeken welke criteria van toepassing zijn aan een organisatie om tot een juiste keuze voor een risicomanagementstrategie te komen. Daarnaast is het van belang om te onderzoeken of de verschillende stijlen te combineren zijn om voor elke situatie tot een zo complementair mogelijke aanpak te komen. Sajko (2010): Shamala, Ahmad & Yussof (2013); Massacci et al. (2016) geven allen aan dat het kiezen van een aanpak situatieafhankelijk is. Het hangt af van de omgeving waarin een organisatie zich verkeert en de eigenschappen van en vereisten aan een organisatie. Om een organisatie, de situatie waar de organisatie zich in verkeert en de eigenschappen van en vereisten aan de organisatie in kaart te
13
brengen wordt een Security Maturity Model gebruikt. Hierin wordt er gemeten in hoeverre een organisatie al bezig is met informatiebeveiliging. Op basis van deze meting wordt er bepaalt wat de meest geschikte risicomanagementstrategie is. Dit kan een rules based risicomanagementstrategie, een risk based risicomanagementstrategie of een combinatie hiervan zijn.
Voor het beantwoorden van de onderzoeksvraag is het van belang om te onderzoeken of er een mogelijkheid is voor een gecombineerde rules en risk based risicomanagementstrategie. Het Security Maturity Model is daarnaast voor dit onderzoek van belang voor de segmentatie. Waar komen de grenzen tussen de verschillende risicomanagementstrategieën te liggen?
3.1 Interviews
Er zullen meerdere semigestructureerde interviews worden gehouden. Het voordeel van semigestructureerde interviews is dat er dieper op antwoorden in kan worden gegaan. Hierdoor wordt er getracht gedetailleerdere informatie te verkrijgen (DiCicco-Bloom & Crabtree, 2006). De interviews worden face to face gehouden en zullen met een voice recorder worden opgenomen. Vooraf is er een vragenlijst opgesteld, welke is toegevoegd in de bijlage. Deze vragenlijst wordt alleen gebruikt als houvast. Het is bij een semigestructureerd interview de bedoeling om door te vragen op antwoorden van geïnterviewde personen, waardoor de redenatie voor gegeven antwoorden beter naar boven komt (DiCicco-Bloom & Crabtree, 2006). Tijdens de interviews zullen de volgende
onderwerpen aan bod komen: risk based risicomanagement, rules based risicomanagement, redenen voor informatiebeveiliging, organisatiekenmerken van klanten, het Security Maturity Model, huidige klantsegmentatie, huidige diensten en producten en klantwensen. De interviews zullen na afloop worden getranscribeerd en gecodeerd door middel van het softwareprogramma MaxQDA. MaxQDA is een programma voor het verwerken van kwalitatieve data. Op basis daarvan worden er conclusies getrokken en wordt het uiteindelijke doel gerealiseerd. Dit doel is om een beslissingsmodel op te stellen, waarbij rekening wordt gehouden met de criteria waaraan een organisatie moet voldoen, zodat de keuze van de juiste methodiek verbeterd wordt.
3.2 Participanten
Er zullen dertien werknemers van Dearbytes worden geïnterviewd. Allereerst wordt er tijdens de interviews geprobeerd de huidige de volwassenheid van organisaties en de wensen van de organisaties in kaart te brengen. De belangrijkste input voor deze onderwerpen zullen komen van accountmanagers, de SLA/productmanager en de Team Lead accountmanager. Vervolgens zal er worden gevraagd naar strategieën en methodieken. Het gaat hierbij om vragen over de huidige diensten, risicomanagementstrategieën en resultaten van een risicomanagementstrategieën, de verschillen en de achterliggende gedachten tussen de risicomanagementstrategieën en de grensbepaling van het Security Maturity Model. De belangrijkste input hiervoor wordt van de product managers, de Risk & Compliance manager, de Security Officer, consultants en de CEO verwacht.
3.2 Betrouwbaarheid & Validiteit
Yin (2009) geeft aan dat er bij een case study drie principes kunnen worden gehanteerd om de betrouwbaarheid en validiteit te waarborgen. Hierbij gaat het om het gebruiken van meerdere soorten bronnen, het creëren van een case study database en het onderhouden van een keten van
14
bewijs. Dit onderzoek maakt gebruik van eerder wetenschappelijk onderzoek, interne documenten van Dearbytes en interviews. Er wordt dus gebruik gemaakt van meerdere soorten bronnen. Het creëren van een case study database wordt in dit onderzoek gedaan door middel van het opnemen en transcriberen van de interviews. Voor het verweken van de data is het programma MaxQDA gebruikt. Het codeboek is in de bijlage geplaatst. De keten van bewijs wordt gegeven in de volledige onderzoeksmethode en de resultatensectie.
Het nadeel van een semigestructureerd interview is dat er vooringenomenheid en
vooroordelen bij de interviewer of de geïnterviewde kunnen zijn. Dit wordt ook wel bias genoemd (Yin, 2009). De bias bij de interviewer is zo veel mogelijk tegen gegaan door een gedegen
literatuuronderzoek vooraf te houden, waarop samen met het doel van het onderzoek, een
vragenlijst is opgesteld. Ook heeft de interviewer zich goed ingelezen in de specifieke organisatie. De bias van de geïnterviewde personen is zoveel mogelijk tegen gegaan door zoveel mogelijk
verschillende functies te interviewen. Hierdoor worden er verschillende invalshoeken onderzocht. Een accountmanager heeft bijvoorbeeld andere gedachten over risicomanagement dan een Risk & Compliance manager.
Wat betreft de betrouwbaarheid van het onderzoek, speelt ook de organisatie waar de case study heeft plaatsgevonden mee (Noor, 2008). De interviews zullen worden gehouden met
medewerkers van Dearbytes. Dearbytes is een van de leidende informatiebeveiligingsspecialisten van Nederland. Dit houdt in dat Dearbytes voor verschillende organisaties in Nederland advies geeft voor een informatiebeveiliging risicomanagementstrategie en daarbij ook kan helpen bij het uitvoeren hiervan. Dearbytes heeft klanten in de overheidssector, de zorgsector, de financiële sector en in de industriesector als ook MKB en Large Enterprise klanten en bied zowel diensten op basis van een rules based risicomanagementstrategie als ook een risk based risicomanagementstrategie aan. Dit betekent dat interviews gehouden worden met experts in het Nederlandse veld van
informatiebeveiliging en risicomanagement.
4. Resultaten
15
4.1 Risk vs Rules based risicomanagement
In de interviews worden risk en rules based risicomanagementstrategieën vaak samen genoemd, zoals hierboven te zien in figuur 2. Verschillen tussen beide strategieën werden opgenoemd. Uit de interviews is gebleken dat het belangrijkste verschil tussen een rules en risk based
risicomanagementstrategie het verschil tussen preventie en detectie is. De rules based
risicomanagementstrategie gaat uit van technische maatregelen welke detectief werken. Er worden maatregelen genomen welke zijn gericht op het beperken van schade. Een risk based
risicomanagementstrategie gaat uit van risico’s en is gericht op toekomstige risico’s, waardoor geïmplementeerde maatregelen preventief werken. Rules based risicomanagementstrategie wordt als niet volledig gezien. Hierbij zullen niet alle risico’s worden afgedekt. Er kan worden gesteld dat wanneer alleen de rules based risicomanagementstrategie wordt gebruikt het risicomanagement van een organisatie niet volledig is. Wanneer een organisatie daarentegen gebruikt maakt van de risk based risicomanagementstrategie is er wel een compleet risicomanagement. Ook kan er op basis van de interviews worden gesteld dat wanneer organisaties een rules based risicomanagementstrategie prefereren, zij dit doen omdat deze strategie concreet aangeeft welke maatregelen er moeten worden genomen. Een risk based risicomanagementstrategie wordt als complexer ervaren. Er werd ook aangegeven dat de risicokwalificaties bij een risk based risicomanagementstrategie wel objectief zijn, maar het accepteren of mitigeren van risico’s toch vaak op gevoel wordt gedaan en subjectief kan zijn. Dit zou meer op financiële gevolgen moeten worden gebaseerd.
Een persoon gaf aan dat er bij het toepassen van de rules based risicomanagementstrategie eigenlijk ook al gebruik werd gemaakt van een risk based denken. Bij het selecteren van de rules based maatregelen wordt er volgens deze persoon door een organisatie de keuze gemaakt welke maatregelen als eerste worden genomen. In feite is de organisatie hiermee onderbewust al bezig met risico gebaseerd denken, aangezien de meest belangrijke maatregelen, waaraan de meeste risico’s vast zitten, als eerste worden genomen.
4.2 Combinatie van Risk & Rules based risicomanagementstrategieën
Van de dertien geïnterviewde personen gaven er acht aan dat het mogelijk moet zijn om een rules en risk based risicomanagementstrategie te combineren. Er zijn twee opties om de strategieën te combineren. De eerste optie is de mogelijkheid om de strategieën te combineren in een informatiebeveiliging managementsysteem. In de Plan fase zal dan een risicoanalyse worden uitgevoerd en op basis van de risico’s die worden gemitigeerd, kunnen technische maatregelen vanuit de rules based risicomanagementstrategie in de Do fase worden gebruikt. De tweede optie is om beide strategieën parallel te laten lopen aan elkaar. Voor het maken van “quick wins” bij het uitvoeren van een risicomanagementstrategie kan er gelijk gestart worden met het invoeren van technische maatregelen van de rules based risicomanagementstrategie, daarnaast kan er een uitgebreide risicoanalyse worden gemaakt, hierdoor werd het uitvoeren van de risicoanalyse ook minder tijdsintensief.
4.3 Redenen voor informatiebeveiliging
Uit de interviews kan worden geconcludeerd dat er twee hoofdredenen zijn voor organisaties om aan informatiebeveiliging te gaan doen. Dit zijn incidenten of wet- en regelgeving. Er zijn sectoren, zoals de financiële sector en de overheidssector waar wet- en regelgeving ervoor zorgt dat
16
organisaties zich aan een bepaald framework, zoals ISO27001 moeten houden. Zij worden hierop ook getoetst. Het blijkt dat wanneer er voor een sector geen wet- en regelgeving is vastgesteld er vaak vanuit een incident pas een risicomanagementstrategie wordt bepaald. Wanneer er een incident bij een organisatie heeft plaatsgevonden, zoals een ransomware aanval, beseft men pas dat er ook wat aan risicomanagement gedaan moet worden. De risico’s die een organisatie loopt zijn dan concreet geworden, er kan een financieel plaatje bij worden gemaakt. De kosten van de genomen
maatregelen kunnen afgezet worden tegen de kosten van het incident. Voorbeelden die hierbij aangehaald werden zijn de voorbeelden van containerterminal bedrijf Maersk en Q-Park. Deze bedrijven hadden last van een ransomware aanval en hebben nu een duidelijk beeld wat de totale kosten voor het bedrijf waren van zo’n incident. Wanneer organisaties nog niet zijn getroffen door een incident is het financieel inzichtelijk maken van de impact van de risico’s vaak erg moeilijk, waardoor de risico’s en de impact hiervan worden gebagatelliseerd en er geen
risicomanagementstrategie voor wordt opgesteld. Uiteraard zijn er uitzonderingen op de regel, waarbij organisaties zelf besluiten om een risicomanagementstrategie op te stellen, maar de twee hoofdredenen zijn wet- en regelgeving en incidenten.
4.4 Intrinsieke motivatie
In de interviews wordt de intrinsieke motivatie van een organisatie vaak gekoppeld aan de redenen voor informatiebeveiliging en de organisatiedoelen, zoals ook te zien is in figuur 2. Het gaat hierbij dan om of een organisatie de risicomanagementdoelen ook opvolging geeft. Opvolging kan er bijvoorbeeld zijn door het naleven van beleid of het vrijmaken van resources, zoals budget en FTE’s. Een organisatie kan zich bijvoorbeeld aan wet- en regelgeving moeten houden, zoals aan de Wet bescherming persoonsgegevens (Wbp), maar het blijkt dat hiervoor door de overheid zelden boetes voor worden uitgedeeld. Het is dan aan de organisatie zelf om aan deze wet- en regelgeving te voldoen. Ook in het geval van verplichte risicomanagementcertificatie vanuit de overheid, zoals bijvoorbeeld in de zorgsector het geval is, is de intrinsieke motivatie van een organisatie om een risicomanagementstrategie op te stellen van belang voor de naleving hiervan.
De meningen over de intrinsieke motivatie, het willen of moeten van een organisatie, kunnen worden onderverdeeld in twee overtuigingen. Een deel van de geïnterviewde personen is ervan overtuigd dat de intrinsieke motivatie niet van belang is. Wanneer een verplichting is door middel van wet- en regelgeving zullen organisaties hierdoor aan informatiebeveiliging gaan doen en een risicomanagementstrategie gaan opstellen. Dit betekent dat organisaties goed op de hoogte zijn van de risico’s en de impact van de risico’s. Hierop zal automatisch beleid gemaakt worden. Het andere deel van de geïnterviewde personen is in de overtuiging dat de intrinsieke motivatie
weldegelijk van belang is, want wanneer een organisatie zich aan wet- en regelgeving moet houden, maar er hierop zelden of nooit gecontroleerd wordt, zal et opzetten van een
risicomanagementstrategie vaak erg lang duren. De organisatie geeft er weinig opvolging in de zin van resources aan, waardoor de informatiebeveiliging niet goed op orde is. Ook wordt er gesteld dat organisaties wanneer ze eenmaal het certificaat binnen hebben, het risicomanagementbeleid vaak laten verslappen. Er worden geen nieuwe risicoanalyses meer gemaakt, terwijl risicomanagement een continue proces moet zijn.
4.5 Strategisch, tactisch of operationeel niveau
Wanneer er door de geïnterviewde over strategisch, tactisch of operationeel niveau gesproken werd, ging dit vooral om op welk niveau er in de organisatie de informatiebeveiliging strategie werd
17
bepaalt. Het beste zou zijn om dit op strategisch niveau te bepalen, echter blijkt in de praktijk nog vaak genoeg het tactische of operationele niveau van een organisatie hierover te gaan. Dit heeft als oorzaak dat informatiebeveiliging tot een jaar geleden nog werd beschouwd als een “IT-feestje”. Hierdoor waren IT managers verantwoordelijk voor beveiligingsmaatregelen. Dit betekent dan ook dat wanneer het tactische of operationele niveau verantwoordelijk voor de informatiebeveiliging is, de rules based risicomanagementstrategie werd geprefereerd, omdat het hier voornamelijk om technische maatregelen gaat. Op strategisch niveau is men beter op de hoogte van de
“kroonjuwelen” van de organisatie, zoals bijvoorbeeld het intellectuele eigendom, waardoor zij goed de risico’s en de financiële impact van de risico’s in kunnen schatten. Wanneer strategisch niveau verantwoordelijk is voor de informatiebeveiliging, heeft de risk based risicomanagementstrategie daardoor ook de voorkeur. Er wordt door de geïnterviewde personen op dit moment een duidelijke verschuiving van de verantwoordelijkheid voor de informatiebeveiliging waargenomen. De
verschuiving vindt plaats van tactisch en operationeel niveau naar strategisch niveau. Dit komt door de bewustwording van de gevolgen van incidenten bij organisaties. Deze bewustwording vindt onder andere plaats door middel van recente nieuwsberichten over ransomware aanvallen als Wannacry en Petya.
4.6 Bewustzijn
Bewustzijn wordt in de interviews, zoals ook te zien in figuur 2, vaak samen opgenoemd met de bewustwording van het strategische niveau van de risico’s en de impact van de risico’s op een organisatie. Organisaties zijn zich dankzij nieuwsberichten en wet- en regelgeving steeds meer bewust van het belang van het hebben van een risicomanagementstrategie, maar nog bewuster worden organisaties wanneer er een incident heeft plaatsgevonden. Dan zijn vooral de financiële gevolgen duidelijk, waardoor er risicomanagementstrategie wordt opgesteld waarbij een duidelijke kosten/baten som kan worden gemaakt. Dit helpt enorm in het beslissingsproces van het aanpakken of mitigeren van risico’s. Hierdoor blijft informatiebeveiliging vaak incident gedreven, totdat een overheid hiervoor wet- en regelgeving opstelt. Wanneer er wet- en regelgeving voor
informatiebeveiliging bestaat, komt het verschil tussen willen en moeten beveiligen weer terug. Wanneer organisaties bewust zijn van de risico’s en de impact van de risico’s willen zij vaak de informatiebeveiliging op orde hebben, wanneer zij minder bewust zijn van de risico’s en de impact van de risico’s wordt het hebben van een goede informatiebeveiliging vooral als moeten ervaren. Het verschil tussen moeten en willen is ook terug te vinden in de opvatting dat risicomanagement een continu proces is. Wanneer organisaties een risicomanagementstrategie willen, dan zal het gezien worden als een continu proces, waarin jaarlijkse controles en updates van de strategie plaats zullen vinden. Wanneer organisaties een risicomanagementstrategie moeten hebben vanwege wet- en regelgeving zien zij het vaak niet als een continu proces en zullen ze er geen controles plaatsvinden en wordt de strategie niet vernieuwd. Organisaties zijn er niet van bewust dat bijvoorbeeld
aanvalstechnieken zoals ransomware continu verbeteren, waardoor de beveiliging ook continu moet worden verbeterd. Het bewustzijn dat er technische maatregelen nodig zijn is er zeker wel,
aangezien elke organisatie wel beseft dat er een virusscanner en emailfilter nodig heeft.
4.7 Security Maturity Model
In figuur 2 is te zien dat het Security Maturity Model niet alleen met risk based, rules based en een combinatie van risk en rules based risicomanagementstrategieën werd genoemd, maar ook vaak samen met de doelen van de organisatie en het strategische, operationele of tactische niveau van de
18
organisatie werd genoemd. Dit komt omdat de geïnterviewde personen aangaven dat voor het kiezen van de meest geschikte methodiek er meer voor nodig was dan het Security Maturity Model alleen. Extra variabelen om rekening mee te houden zijn de organisatiedoelen en op welk niveau de beslissingen voor het kiezen van een aanpak worden gemaakt.
Op basis van de interviews kan er worden geconcludeerd dat voor organisaties met een maturity niveau van 0 tot 3 de rules based risicomanagementstrategie het meest geschikt is. Bij organisaties op dit niveau is het vaak het tactische of operationele niveau wat de keuze voor de strategie bepaalt. Hier sluit de rules based risicomanagementstrategie het beste bij aan. Deze niveaus zijn niet goed op de hoogte van alle risico’s en de gevolgen hiervan, waardoor een risk based risicomanagementstrategie als te complex wordt ervaren en vaak niet goed wordt toegepast. Wanneer er vanuit strategisch niveau voor een risicomanagementstrategie wordt gekozen en de organisatie heeft een maturity niveau van 0 tot 3, dan zouden organisaties voor een combinatie van een rules en risk based risicomanagementstrategie kunnen kiezen. Er kan gestart worden met de rules based risicomanagementstrategie om zo de technische maatregelen op orde te brengen, waarop er vervolgens een uitgebreide risicoanalyse kan plaatsvinden. Wanneer er vanuit strategisch niveau een risicomanagementstrategie wordt bepaalt betekent dit gelijk dat er ook resources en budget wordt vrijgemaakt, waardoor een risk based risicomanagementstrategie goed uitvoerbaar is. Wanneer er vanuit tactisch of operationeel niveau voor een risk based risicomanagementstrategie wordt gekozen, blijven zaken als resources en budget vaak achter, waardoor de strategie niet goed uitvoerbaar is.
Wanner het strategische niveau doelen als certificatie nastreeft, kan er uit de interviews worden opgemaakt dat een combinatie van een rules en risk based risicomanagementstrategie de meest geschikte aanpak is. Er wordt hierbij gestart met een risicoanalyse, waarop risico’s kunnen worden gemitigeerd met de technische maatregelen vanuit een rules based
risicomanagementstrategie. Het maakt voor het kiezen van de meest geschikte methodiek niet uit of het of daarbij gaat om het moeten hebben van certificatie vanuit wet- en regelgeving of het willen hebben van certificatie zodat de informatiebeveiliging op orde is.
Wanneer een organisatie een maturity niveau van 3 tot en met 5 heeft, kan er uit de interviews ook worden opgemaakt dat een combinatie van een rules en risk based
risicomanagementstrategie de meest geschikte strategie is. Er wordt hierbij gestart met een
risicoanalyse, waarop risico’s kunnen worden gemitigeerd met de technische maatregelen vanuit een rules based risicomanagementstrategie.
Wanneer een organisatie vanuit een incident de informatiebeveiliging op orde wil brengen zal de rules based risicomanagementstrategie de meest geschikte methode zijn. Er zullen gelijk technische maatregelen moeten worden genomen om gaten in de beveiliging te dichten. Vervolgens is het weer afhankelijk van de doelen van de organisatie, de maturity van de organisatie en op welk niveau de beslissing wordt genomen of er een uitgebreidere risicomanagementstrategie moet worden opgesteld.
De organisatiedoelen kunnen afhankelijk zijn van de core business van een bedrijf. Wanneer een bedrijf bijvoorbeeld moertjes produceren, kan een maturity niveau van 1 of 2 voor deze klant voldoende zijn. Het aantal werknemers dat een organisatie is niet van belang om te beslissen welke risicomanagementstrategie het meest geschikt is. Een organisatie kan bijvoorbeeld vijf medewerkers hebben, maar moertjes produceren, waardoor het geen hoog maturity niveau na zal streven. Echter kan een organisatie ook met vijf medewerkers een IT platform draaien, waarop bedrijven met
19
miljoenen aan omzet werken. Deze bedrijven zullen een hogere maturity nastreven, waarop een andere risicomanagementstrategie beter aansluit.
Het is voor organisaties van belang om duidelijk te maken welke stappen er nodig zijn om op een bepaald maturity niveau te komen. Wanneer dit concreet kan worden gemaakt, dan zullen organisaties hier naar handelen. Op basis van de interviews kan worden gesteld dat de meeste organisaties in Nederland op een maturity niveau van één of twee zitten. Hoewel er steeds meer bewustwording bij organisaties is dankzij de nieuwsberichten over ransomware en de gevolgen hiervan die in de nationale media verschijnen, zijn organisaties nog niet zo ver om gelijk te handelen en stappen te zetten op het gebied van informatiebeveiliging, behalve wanneer er een incident heeft plaats gevonden of er druk is vanuit wet- en regelgeving. Vandaar dat de meeste organisaties een maturity niveau van één of twee hebben.
5. Conclusie
Organisaties willen vanuit incidenten of vanuit wet- en regelgeving de informatiebeveiliging op orde hebben. Hiervoor zijn twee soorten risicomanagementstrategieën mogelijk. Dit kan door middel van een rules based risicomanagementstrategie of door middel van een risk based
risicomanagementstrategie. Dit onderzoek toont aan dat er ook een derde mogelijkheid is, het combineren van beide risicomanagementstrategieën. In een informatiebeveiliging
managementsysteem is het mogelijk om de risicomanagementstrategieën te combineren. Ook is het mogelijk om beide risicomanagementstrategieën parallel te laten lopen. De criteria om de meest geschikte strategie te bepalen kunnen worden bepaald aan de hand van het Security Maturity Model, de organisatiedoelen en het niveau waarop de beslissingen over risicomanagement worden
genomen binnen de organisatie. De intrinsieke motivatie wordt niet meegenomen in het
beslissingsmodel, omdat hierover geen eenduidige conclusie kan worden getrokken. Naar aanleiding van het onderzoek kan het volgende beslissingsmodel worden opgesteld.
Maturity Niveau Organisatiedoel Beslissingsniveau Strategie
0 t/m 2 Reageren op incident Tactisch/operationeel niveau
Rules based
risicomanagementstrategie 0 t/m 2 Reageren op incident Strategisch niveau Parallel combinatie rules
en risk based
risicomanagementstrategie 0 t/m 2 Naleven wet- en
regelgeving
Strategisch niveau Combinatie rules en risk based
risicomanagementstrategie 0 t/m 2 Zelf in controle
willen zijn
Strategisch niveau Combinatie rules en risk based
risicomanagementstrategie 3 t/m 5 Naleven wet- en
regelgeving
Strategisch niveau Combinatie rules en risk based
risicomanagementstrategie 3 t/m 5 Zelf in controle
willen zijn
Strategisch niveau Combinatie rules en risk based
risicomanagementstrategie
20
Wanneer een organisatie een maturity niveau van 0 tot en met 2 heeft en er gereageerd wordt op een incident is blijven er twee opties over. Er wordt bij deze organisaties vanuit een ad hoc & chaos situatie gereageerd en wanneer beslissingen op tactisch of operationeel gebied worden genomen is de rules based risicomanagementstrategie het meest effectief. Er zullen gelijk gaten in de beveiliging gedicht moeten worden. Een uitgebreide risicoanalyse zou te complex zijn. De checklist met technische maatregelen is daarom voor deze situatie het meest geschikt. Echter wanneer er vanuit strategisch niveau beslissingen omtrent het risicomanagement worden genomen geldt een combinatiestrategie als meest geschikte oplossing. Er zal gestart worden met een rules based
risicomanagementstrategie, waardoor er “quick wins” ontstaan en belangrijke gaten in de beveiliging worden gedicht. Parallel hieraan wordt een risk based risicomanagementstrategie opgestart door middel van een uitgebreide risicoanalyse.
Echter wanneer organisaties met een maturity niveau van 0 tot en met 2 de
informatiebeveiliging op orde willen hebben, omdat zij dit naar aanleiding van wet- en regelgeving moeten of omdat zij zelf in controle willen zijn, is een combinatie van rules en risk based
risicomanagement de beste aanpak. Er wordt bij deze organisaties op strategisch niveau over risicomanagement besloten. Voor de combinatiestrategie zal er een informatiebeveiliging
managementsysteem gecreëerd worden. Er hoeft niet gereageerd te worden vanuit een incident, dus er zijn tijd en resources beschikbaar gesteld om een risicoanalyse uit te voeren. Hierop volgend zouden risico’s kunnen worden gemitigeerd met de technische maatregelen vanuit een rules based risicomanagementstrategie. Bij organisaties met een security maturity niveau van 3 tot en met 5 worden de risicomanagementbeslissingen genomen op strategisch niveau. Organisaties hebben al een compleet beleid en er zijn resources beschikbaar. Het maakt in deze situatie niet uit of
organisaties de informatiebeveiliging vanuit wet- en regelgeving op orde willen hebben, of omdat ze zelf in controle willen zijn. Onder deze voorwaarden geldt dat de combinatiestrategie waarbij er gestart wordt met de risicoanalyse ook de meest geschikte strategie is.
De meeste Nederlandse organisaties zitten volgens dit onderzoek op een maturity niveau van 1 tot 2. Dit blijkt ook uit het Cybersecuritybeeld Nederland (2017) van de NCTV. Wanneer een
organisatie een goede informatiebeveiliging welke specifiek voor de organisatie zelf is, wil hebben is een maturity niveau van 3 tot 4 gewenst. Dankzij de nieuwsberichten over recente ransomware aanvallen en de gevolgen hiervan begint de bewustwording bij Nederlandse organisaties te groeien om ook richting dit maturity niveau te groeine. Informatiebeveiliging is geen “IT-feestje” meer en verplaatst zich richting strategisch niveau. Het Security Maturity Model kan hierbij voor extra bewustwording zorgen. De criteria om op een aanvaardbaar maturity niveau van 3 tot 4 te komen zijn concreet weergegeven in het Security Maturity Model. Hierdoor kunnen organisaties duidelijke doelen stellen en stappen maken. Zo hebben zij een overzichtelijk stappenplan om tot een zo compleet mogelijke risicomanagementstrategie te komen, waardoor het
informatiebeveiligingsniveau wordt verhoogd.
6. Discussie
Het onderzoek is op basis van kennis en expertiseniveau van een van de leidende
informatiebeveiligingsspecialisten van Nederland. Voor een sterkere conclusie zouden verschillende organisaties in Nederland benaderd moeten worden. Er zou bijvoorbeeld een vragenlijst opgesteld kunnen worden, welke door andere informatiebeveiliging specialisten beantwoord zou kunnen
21
worden. Hierdoor wordt het onderzoek versterkt met een kwantitatieve onderzoeksmethode. De opgestelde resultaten kunnen getoetst worden, waardoor een sterkere conclusie kan worden getrokken. Vervolgens zou het beslissingsmodel nog in de praktijk getest moeten worden. Er zouden steekproefsgewijs een aantal organisaties benaderd kunnen worden, waarop het beslissingsmodel wordt voorgelegd. Deze organisaties zouden al een risicomanagementstrategie moeten hebben, zodat er wanneer er gekozen is voor een risicomanagementstrategie op basis van het
beslissingsmodel, de resultaten van beide situaties kunnen worden gemeten en vergeleken. Hierdoor kan er uiteindelijk worden bepaald of het beslissingsmodel in de praktijk ook een verbetering voor de resultaten van de informatiebeveiliging is.
Voor vervolgeonderzoek kan er onderzocht worden of het Security Maturity Model kan worden uitgebreid met specifieke maatregelen per organisatiebranche. Vanwege de verschillen in wet- en regelgeving en certificatie zijn er specifieke maatregelen nodig per branche. Deze zouden in het Security Maturity Model verwerkt kunnen worden als uitbreiding, waardoor organisaties nog specifieker weten welke criteria er aan een maturity niveau vast zitten. Er zou ook onderzocht kunnen worden of het beslissingsmodel uitgebreid zou moeten worden met de het vanuit wet- en regelgeving moeten of het zelf willen hebben van het hebben van een informatiebeveiliging
strategie. In dit onderzoek waren de meningen hierover verdeeld. Er zou onderzocht kunnen worden of de intrinsieke motivatie echt van belang is voor de keuze van een risicomanagementstrategie.
22
7. Bijlagen
7.1 Vragenlijst interview
Vraag 1: Hoe wordt er binnen Dearbytes gesegmenteerd?
Vraag 2: Wat vind jij van deze segmentatie? Vind jij deze segmentatie geschikt met als doel het bepalen van een risicomanagementstrategie?
Vraag 3: Ben je bekend met het Security Maturity Model wat Dearbytes hanteert en wat vind je van dit model, waarvoor wordt dit gebruikt en kan dit verbeterd worden?
Vraag 4: Wanneer wordt er een risicoanalyse voor een klant gemaakt en wanneer niet? Op welk niveau van het Security Maturity Model ligt de huidige grens?
Vraag 5: Sluiten de wensen van organisaties hier goed bij aan en zijn zij tevreden met de aangeboden diensten? Zo niet, waarom niet? (Documentatie van voorbeeld cases vragen)
Vraag 6: Wat zijn de belangrijkste redenen voor een organisatie om de informatiebeveiliging op orde te willen hebben?
Vraag 7: Hoe belangrijk vinden organisaties certificatie en waarom willen zij dit? Willen zij het certificaat om het certificaat (status) of omdat ze de informatiebeveiliging op orde willen hebben? Vraag 8: Ben je bekend met de rules based en risk based risicomanagementstrategieën?
Vraag 9: Ben jij bekend welke risicomanagementstrategieën bij Dearbytes worden gebruikt in de diensten die Dearbytes levert? En in welke categorie schaar je die?
Vraag 10: Zouden organisaties een risk based risicomanagementstrategie of een rules based risicomanagementstrategie betrouwbaarder vinden?
Vraag 11: Welke organisaties zouden een voorkeur kunnen hebben voor een rules based risicomanagementstrategie?
Vraag 12: Welke organisaties zouden een voorkeur hebben voor een risk based risicomanagementstrategie?
Vraag 13: Is het mogelijk om een ISMS om een rules based risicomanagementstrategie te bouwen? Vraag 14: Denk je dat er een mogelijk is om op basis van het Security Maturity Model verschillende risicomanagementstrategieën op te stellen?
23
7.3 Security Maturity Model
8. Literatuurlijst
Applegate, L. M., McFarlan, F. W., and McKenney, J. L. (2001) Corporate Information Systems Management, 5. ed., McGraw-Hill, Boston.
Arthur, W. B. (1994). Inductive reasoning and bounded rationality. The American economic review, 84(2), 406-411.
Bandyopadhyay, K., Mykytyn, P. P., & Mykytyn, K. (1999). A framework for integrated risk management in information technology. Management Decision, 37(5), 437-445.
Benslimane, Y., Yang, Z., & Bahli, B. (2016). Information Security between Standards, Certifications and Technologies: An Empirical Study. In Information Science and Security (ICISS), 2016 International Conference on (pp. 1-5). IEEE.
Blakley, B., McDermott, E., & Geer, D. (2001, September). Information security is information risk management. In Proceedings of the 2001 workshop on New security paradigms (pp. 97-104). ACM. CIS. (2016). Critical Security Controls for Effective Cyber Defense version 6.1. The Center for Internet Security.
DiCicco‐Bloom, B., & Crabtree, B. F. (2006). The qualitative research interview. Medical education, 40(4), 314-321.
Dhillon, G., & Backhouse, J. (2000). Technical opinion: Information system security management in the new millennium. Communications of the ACM, 43(7), 125-128.
Duncan, B., & Whittington, M. (2014). Compliance with standards, assurance and audit: Does this equal security?. In Proceedings of the 7th International Conference on Security of Information and Networks (p. 77). ACM.
24
Eloff, J. H., & Eloff, M. (2003). Information security management: a new paradigm. In Proceedings of the 2003 annual research conference of the South African institute of computer scientists and information technologists on Enablement through technology (pp. 130-136). South African Institute for Computer Scientists and Information Technologists.
European Network and information Secrity Agency, (ENISA), 2006. Risk Managemnt: Implementation principles and Inventories for Risk Management/Risk Assessment methods and tools.
Fenz, S., Goluch, G., Ekelhart, A., Riedl, B., & Weippl, E. (2007). Information security fortification by ontological mapping of the ISO/IEC 27001 standard. In Dependable Computing, 2007. PRDC 2007. 13th Pacific Rim International Symposium on (pp. 381-388). IEEE.
Gikas, C. (2010). A General Comparison of FISMA, HIPAA, ISO 27000 and PCI-DSS Standards. Information Security Journal: A Global Perspective, 19(3), 132-141.
Gottfried, I. S. (1989). When disaster strikes. Information System Management, 6(2), 86-89. Gui, A., Haron, H., Kristanto, R. and Adrian, E. (2010). Information Technology Risk Measurement Using NIST. 2010 Second International Conference on Advances in Computing, Control, and Telecommunication Technologies, 191-194.
Hedian, D., Silva Neto, G. (2014). The Risk Assessment based on international standards, a credibility evaluation: A case study on international standards of Risk Assessment and Management in the Information Security context.
ISO 27001. (2013). “Information Technology, Security Techniques, Information Security Management Systems, Requirements,” International Organization for Standardization ISO, Geneve, 2013.
Jahner, S., & Krcmar, H. (2005). Beyond technical aspects of information security: Risk culture as a success factor for IT risk management. AMCIS 2005 Proceedings, 462.
Khambhammettu, H., Boulares, S., Adi, K., & Logrippo, L. (2013). A framework for risk assessment in access control systems. Computers & Security, 39, 86-103.
Klinke, A., & Renn, O. (2002). A new approach to risk evaluation and management: risk‐based, precaution‐based, and discourse‐based strategies. Risk analysis, 22(6), 1071-1094.
Massacci, F., Ruprai, R., Collinson, M., & Williams, J. (2016). Economic Impacts of Rules-versus Risk-Based Cybersecurity Regulations for Critical Infrastructure Providers. IEEE Security & Privacy, 14(3), 52-60.
McNeil, A. J., Frey, R., & Embrechts, P. (2015). Quantitative risk management: Concepts, techniques and tools. Princeton university press.
Moore, T., Dynes, S., & Chang, F. R. (2015). Identifying how firms manage cybersecurity investment. Available: Southern Methodist University.
Moschandreas, D., Karuchit, S. (2005). Risk uncertainty matters: an engineer's view. Int. J. Risk Assessment and Management, 5 (2/3/4), 167-192.
Munnichs, G., Kouw, M., & Kool, L. (2017) Een nooit gelopen race – over cijberdreigingen en versterking van weerbaarheid. Rathenau Instituut.
Nationaal Coördinator Terrorismebestrijding en Veiligheid, (NCTV). 2017. Cybersecuritybeeld Nederland. Ministerie van Veiligheid en Justitie.
