Integrale beveiliging door middel van architectuur

Architectuur begint waar de opdrachtgever zijn ideeën vertaalt naar wensen en eisen en die weer doorvertaalt naar strategische uitgangspunten. Vervolgens wordt er op basis daarvan een ontwerp gemaakt van de gewenste situatie door de architect. De architectuurmethode Dragon1 heeft als grondslag de bouwarchitectuur.

Om het vakgebied informatiebeveiliging te positioneren ten opzichte van de architectuur neem ik de volgende hypothetische situatie.

De opdrachtgever laat een huis bouwen en heeft een aantal wensen op papier gezet. Er moet veel inval van zonlicht zijn en er moet ruimte zijn voor vier personen en een hond. Vanuit de auto wil hij droog in huis kunnen komen. Ook moet het huis uniek zijn in de buurt (concurrentiepositie bij verkoop).

Vaak wordt er aan de mooie dingen gedacht. Nooit staat boven aan de lijst dat ik sloten op mijn deuren wil of dat ik een alarminstallatie wens of beter gezegd, dat ik ongewenst bezoek wil voorkomen of dat bepaalde objecten extra bescherming vereisen. Kortom een pakket aan maatregelen voor de risico's die ik zie.

Het bouwen van een huis is een afweging van kosten die je kunt en wilt maken om je strategische doelstellingen van je huis te behalen. Daarbij wordt vaak eerder het alarmsysteem geschrapt in plaats van de openslaande terrasdeuren.

De architect gaat ontwerpen op basis van concepten waarmee uw strategische uitgangspunten worden ingevuld. Na enige aanpassingen op het ontwerp, u wilt geen houten maar duurzame en toekomstvaste kunststoffen terrasdeuren, wordt het ontwerp gerealiseerd.

Het huis van de opdrachtgever is klaar. Maar binnen een week wordt er ingebroken en is zijn geld en adressenboek ontvreemd. Het geld en adressenboek waren een van zijn meest waardevolle bezitten. Zijn kennissen en relaties kunnen problemen krijgen doordat het adressenboek is ontvreemd. Hoewel de vermiste objecten reproduceerbaar zijn (adressen navragen en geld bij verzekering) voelt hij zich ongemakkelijk door emotionele en imago schade. Misschien vinden zijn relaties hem nu minder betrouwbaar.

Het ontwerp van het huis moet aangepast worden. Alle kunststof deuren moeten vervangen worden door nieuwe kunststof deuren, zodat er betere sloten in geplaatst kunnen worden. Een muur moet weggebroken worden, zodat er een kluis geplaatst kan worden.

Een half jaar later wordt er via een openstaand raam opnieuw spullen ontvreemd. Er wordt nagedacht over nieuwe maatregelen. Een procedure afspreken met het gezin om altijd alle ramen te controleren of een anti-inbraakslot op alle ramen. Opnieuw moet het ontwerp of de huishoudregels aangepast worden.

Risico's gebruiken om doelstellingen te halen

De strategische uitgangspunten worden niet gehaald door het manifest worden van risico's. Uw huis is wel uniek maar niet in positieve zin. In organisaties zien we vaak soortgelijke situaties maar dan op andere schaal. De risico's en bijbehorende schade zijn vaak ook van een hele andere orde. Door een goede risicoanalyse en juiste beveiliging, was het huis wel uniek geweest. Had de opdrachtgever van te voren een risicoanalyse laten uitvoeren tijdens het ontwerpen van het huis, dan had dat achteraf een hoop gedoe voorkomen.

Uit de analyse van het huis had kunnen komen:

• Definitie van meest waardevolle bezit en belangen daarvoor bij anderen;
• Geografische locatie van het huis;
• Soort buurt waar het huis staat;
• Zichtbaarheid van bepaalde zaken die bewust negatief gedrag uitlokken.

Volgens had u een strategie kunnen bepalen die integraal onderdeel is van het geheel. Strategie kan zijn:

• Risicomijdend gedrag;
• Overdragen van risico's (opstalverzekering);
• Budget verhoudingen voor maatregelen;
• Verhouding tussen fysieke en organisatorische maatregelen.

Door strategische uitgangspunten te definiëren op gebied van risico's en beveiliging en uw organisatie onder architectuur te ontwerpen voorkomt u dure oplossingen als reactie op een gebeurtenis. En nog belangrijker u behaalt uw doelstellingen (strategische uitgangspunten).

Een aantal maatregelen in dit voorbeeld kunnen zijn:

• Door te voldoen aan de eisen van mijn opstalverzekering kan ik de materiële schade beperken of laten vergoeden.
• Door goedgekeurde sloten op elke deur en raam voorkom ik dat een inbreker binnen een kwartier naar binnen kan komen.
• Door een extra beveiligde ruimte te creëeren waar ik de meest waardevolle spullen bewaar voorkom ik materiële en immateriële schade.

Dit voorbeeld is ook toepasbaar op ondernemingen. Door het opstellen van strategische uitgangspunten kunnen dure oplossingen achteraf worden voorkomen of eenmalig van aard zijn. De kosten voor beveiliging zijn lager en eenvoudiger te controleren. Ook zijn de kosten in relatie tot de maatregelen eenvoudiger te relateren aan uw strategische uitgangspunten. Daarmee wordt uw balans van risico en winst zichtbaar.

Conclusie

Het gaat niet om het invoeren van maatregelen (of ze nu wel of niet effectief zijn) maar om het feit dat er nagedacht wordt over risico's die u van uw doelstellingen kunnen afhouden. Op basis van die gedachte en uitgangspunten een strategie te kiezen die het beste in balans is met het realiseren van uw doelstellingen en in goede verhouding staan met de kosten die gemaakt moeten worden voor de maatregelen en de winst die u maakt.

Deze exercitie in combinatie met architectuur kan ook nadat het huis is gebouwd, echter het is verstandig om dan ineens een integrale aanpak te kiezen op basis van uw uitgangspunten om te voorkomen dat er continu reactieve maatregelen genomen moeten worden. Door strategische uitgangspunten op gebied van informatie beveiliging te benoemen maakt dit integraal onderdeel uit van uw organisatie.