Daar waar in beheerorganisaties informatiebeveiliging en dan met name hieraan gekoppelde managementsystemen steeds vaker succesvol worden ingezet om grip op een ICT-organisatie te krijgen, speelt informatiebeveiliging binnen projecten vaak nog een ondergeschikte rol. Gezien de complexiteit van veel projecten is het niet onterecht dat het grootste deel van de aandacht uitgaat naar het werkend krijgen van de functionaliteit. De ervaring leert ons echter ook dat extra aandacht voor kwaliteit en beleid aan het begin van projecten, over het algemeen leid tot een betere sturing op mijlpalen en tevredener eindgebruikers. Informatiebeveiliging kan hieraan een bijdrage leveren.
Classificeer en analyseer
Definieer voorafgaand aan een project of RFI/RFP welke beschikbaarheids-, vertrouwelijkheids- en integriteitseisen er bij het eindproduct passen. Als je vroegtijdig weet wat de betrouwbaarheidseisen zijn, kan hier gedurende het gehele project rekening mee worden gehouden. Stel daarnaast vast wat de belangrijkste risico's zijn die in de gewenste functionaliteit onderkent kunnen worden.
Betrek een security specialist bij het inkooptraject
Een goede security specialist kan aan de hand van de classificatie een duidelijk kader vaststellen waaraan een product of dienst op beveiligingsvlak dient te voldoen. Door de security specialist al tijdens het inkooptraject samen met leveranciers of interne (ict) afdelingen de voor en nadelen van verschillende oplossingen te laten vaststellen, wordt voorkomen dat er financiele verplichtingen worden aangegaan voor oplossingen die niet passen bij het (beveiligings)beleid en de gestelde betrouwbaarheidseisen.
Stel beveiligingsmaatregelen vast
Stel voor de gekozen oplossing een set met beveiligingsmaatregelen vast. Deze beveiligingsmaatregelen zijn een toepassing van de classificatie en de belangrijkste risico's op de geselecteerde oplossing.
Verwerk beveiligingsmaatregelen in reguliere ontwerpen
Geef ontwerpers de specifieke opdracht om de vastgestelde beveiligingsmaatregelen te verwerken in hun functioneel en technisch ontwerp. De betrouwbaarheid van het projectresultaar wordt het meest gediend door beveiligingsmaatregelen te verwerken in de reguliere activiteiten en ze niet als add-on te beschouwen.
Hanteer standaarden
Verwerk indien mogelijk zoveel mogelijk betrouwbare standaard oplossingen in het eindresultaat. Dit komt de efficiency van het projectresultaat en het onderhoud ten goede.
Voer een beveiligingstest uit
Plan naast gangbare ICT testen als acceptatietesten, stresstesten en ketentesten ook een beveiligingstest in. De beveiligingstest dient te borgen dat vooraf opgestelde beveiligingsmaatregelen juist zijn toegepast. Daarnaast kan een penetratietest helpen vaststellen of er in het voortraject geen beveiligingsissues over het hoofd zijn gezien.