Security bestuurbaar

Security is een veelkoppig monster waarbij de grootste uitdaging is in de verschillende deelgebieden de juiste zaken aan te pakken. Het is onmogelijk en onbetaalbaar om het beste jongetje van de klas te zijn op de vele onderwerpen. Dat is echter wel wat de security mensen en de IT mensen willen. Het management moet daarom zélf scherp kunnen sturen om het overzicht van de Security te houden.

Hoe kan het management bepalen of de Security daadwerkelijk goed genoeg is zonder zich daar dagelijks mee bezig te moeten houden en te verdrinken in technische zaken? Hoe zit het met de Security Alignment en de Governance?

Wat staat er op het security dashboard? Meten we de goede zaken? Aan welke knoppen kunnen we draaien? Hoe weten we wat we gaan doen als de meters in het rood slaan? Zijn onze mensen wel zo goed als we zelf denken? Het besturen van beveiliging is een kwestie van balans die vraagt om een helicoptervisie op de bedrijfsvoering, de risico’s en de veelheid van al dan niet verplichte maatregelen.

Deze helicopterview van het management wordt Situational Awareness genoemd: goed voorbereid zijn, weten wat er op je af komt en wat je er wel en wat je er niet aan kunt of moet doen. Alleen een hoge mate van Situational Awareness kan leiden tot een gestructureerde en samenhangende aanpak van al die verschillende beveiligingszaken. Het managen van Security is immers veel meer dan alleen het besturen van een verzameling specialisten.

De Traxion aanpak van informatiebeveiliging begint met het creëren van een goed inzicht van alle maatregelen en voorzieningen aan de ene kant en het in kaart brengen van alle bedreigingen en risico’s aan de andere kant. Het vertalen van alle technische details naar begrijpelijke taal is daarbij een onmisbare schakel. Zodra de organisatie weet hoe zij ervoor staat is het mogelijk de beveiliging in te richten als een voorspelbaarder geheel dat zichzelf zonder dagelijkse bijsturing kan handhaven.