D3. Veilig & Verantwoord
Uit Wiki
D3. Veilig & Verantwoord
Vandaag de dag heeft de politie nieuwe mogelijkheden voor informatieopslag en -uitwisseling tot haar beschikking. Een voorbeeld hiervan is internet. Dit verlangt ook een nieuwe kijk op veilig en verantwoord omgaan met data.
Nieuwe principes voor informatiebeveiliging zijn:
1) Stop met het vermijden van het onvermijdelijke.
We kunnen wel alle risico’s willen afdekken, maar dit doet men in het normale leven ook niet. Kies daarom voor een strategie waarbij we ons bewust zijn van het te lopen risico en bepaal van te voren hoe te handelen als het fout gaat.
2) Stop met het inrichten van beveiliging gebaseerd op de uitzondering. Inrichting op basis van de uitzondering zorgt voor uitsluiting van mogelijkheden. Als er bijvoorbeeld een koffer gestolen is, dan moet niet je beveiliging erop geënt zijn dit in te toekomst volledig te voorkomen. Richt je beveiliging in op de bulk, de meerderheid van alle mogelijke gebeurtenissen.
3) Ga ervan uit dat 95% van de medewerkers ‘oké’ is. Op het moment dat er een incident plaatsvindt, neem dan actie via HRM in plaats van het te reguleren via de techniek. “Maak geen fiets waarmee je niet meer kunt vallen, maar leer fietsen.” Regel het alleen maar via de techniek als de eventuele schade die je kan oplopen echt niet acceptabel is. Tevens moet het beveiligingsbeleid op de mens gericht zijn. Gaat het fout, straf dan de mens, en beloon de mens wanneer het goed gaat.
4) Leg een relatie tussen het risico en het te missen rendement. Gebruik maken van risicoanalyse is wenselijk. In sommige gevallen zal het potentiële rendement zwaarder wegen dan het te lopen risico.
5) Beschrijf de normen conform het doel. Een voorbeeld hiervan is het voorschrijven van zoveel draagkracht per vierkante centimeter in plaats van zoveel centimeter beton. Hierdoor voorkom je dat andere, misschien wel betere methoden niet uitgesloten worden. De norm is niet leidend maar het doel is leidend.
6) Gebruik de markt waar mogelijk. Voor 80% van de informatie is het wenselijk om de afweging tussen ‘make or buy’ te maken. Binnen de politie is gekozen voor het opzetten van een eigen provider. Er kan ook gekozen worden om deze dienst extern te kopen waarbij strikte afspraken worden gemaakt met betrekking tot beveiliging. Kennis van de nieuwste technologie zal dan tevens geleverd worden.
7) Neem economische beslissingen. Als de schade door inbreuk overeenkomt met eigenlijk alleen geld, neem dan een puur economische beslissing. Als de besparing groter is dan het risico, neem het verlies dan op het moment dat het zich voordoet.
8) Kies tussen het beveiligen van de weg en de data. Analyseer wat we op dit moment aan het beveiligen zijn. Is het de computer? Of de persoon? Of de weg die de data bewandeld? Hierin zullen we keuzes moeten maken om een optimaal beveiligingsbeleid in te richten.
9) Neem de benodigde tijdsduur van beveiliging in ogenschouw. Nu beveiligen we alles altijd, maar dit is niet altijd nodig. We kunnen ook kiezen voor beveiliging alleen op het moment dat het echt gewenst is. Bij de instap van een arrestatieteam is het bijvoorbeeld niet nodig om na dit moment de data te blijven beveiligen aangezien de pers er al op af is gekomen.
10) Pas de werkplek aan op de functionele behoefte. Op dit moment is het gebruik van usb-sticks, thuiswerken en het gebruik van internet op de werkplek vanwege beveiliging niet mogelijk. Omzeilen van deze regels door medewerkers levert onveilige situaties op.
Deze principes zullen moeten worden omgezet in concrete stappen. Een aantal voorbeelden van hoe deze leidende principes kunnen worden vertaald in concrete stappen zijn:
1) Herijk de huidige informatiebeveiligingsvoorschriften conform de nieuwe principes.
Een herijking van de bestaande normen en voorschriften is noodzakelijk. Dan kan bijvoorbeeld blijken dat een bepaalde maatregel ‘obsolete’ is. Of er blijkt op dit moment een beter alternatief te zijn. Tevens kan na de herijking geconcludeerd worden dat het gewenste doel beter door ander gedrag in plaats van een andere technische inrichting bereikt kan worden.
2) Bereken gederfde opbrengst versus kans, impact en kosten. Per beveiligingsmaatregel zal de kans, impact en kosten vergeleken moeten worden met de gederfde opbrengst. Daarna kan besloten worden over de inzet c.q. de continuering van deze maatregel.
3) Proef met informatiebeveiliging van de data. Hierbij wordt niet de informatiebeveiliging van de weg bekeken maar van de data. Laat in de proef de gebruikersvriendelijkheid, de kosten en de veiligheid terugkomen. Het doel van de proef is om alternatieven te bieden die hetzelfde doel bereiken, maar die beter, goedkoper of sneller in het gebruik zijn.
Terug naar het begin: Informatiestrategie Politie Nederland.
Terug naar de Sitemap Informatiestrategie Politie Nederland
Kijk hier de presentatie die tijdens de RAIN hierover gehouden is terug:
