Naar analogie van een recent verschenen boek over deze materie is dit nummer van Compact geheel gewijd aan informatiebeveiliging onder controle.[P.L. Overbeek, E. Roos Lindgreen en M.E.M. Spruit, Informatiebeveiliging onder controle, Financial Times, Prentice Hall, Amsterdam 2000.] Mede met het oog op het verschijnen van dit boek heeft de redactie van Compact de auteurs ervan alsmede enkele anderen verzocht vanuit verschillende optiek het onderwerp informatiebeveiliging te beschouwen. Het resultaat ervan is het nummer dat thans voor u ligt.
De nieuwe economie, waarin met name het gebruik van Internet een zeer belangrijke plaats inneemt, plaatst management van organisaties en zeker security managers voor belangrijke uitdagingen. A.M. Buren plaatst als auteur van het eerste artikel,’New security: beveiliging in de nieuwe economie’, de problematiek in perspectief. Vervolgens komen twee auteurs aan het woord, te weten prof. dr. Von Solms en dr. M.E.M. Spruit, die achtereenvolgens ingaan op ‘Risicoanalyse of security baselines’ respectievelijk ‘ITIL security management’.
Professor Von Solms zet het gebruik van risicoanalysemethodieken af tegen het gebruik van security baselines. Hij analyseert de voordelen alsmede de nadelen van beide. De vraag die daarbij aan de orde komt is of een organisatie moet proberen uitputtend een risicoanalyse uit te voeren die veelal toch subjectieve elementen zal bevatten of moet kiezen voor het toepassen van security baselines en slechts in bijzondere gevallen additionele maatregelen moet treffen omdat de aard van de organisatie daarom vraagt.
Dr. Spruit gaat vervolgens in op ITIL security management. Hij behandelt daarin het volwassenheidsniveau van organisaties met betrekking tot security awareness en zet dat in het slot van zijn artikel af tegen de effectiviteit van beveiligingsmaatregelen.
Van de hand van ir. De Wolf is afkomstig het artikel dat als titel draagt ‘Infrastructure services – toolbased auditing in een open heterogene ICT-infrastructuur’. Informatiebeveiliging is geen onderwerp dat zich uitsluitend leent voor strategische en tactische discussies. Het gaat ook over awareness in organisaties doch uiteindelijk om de feitelijke operationele invulling daarvan.
Ir. De Wolf behandelt daarom een methode voor het beoordelen van de kwaliteit van open heterogene ICT-infrastructuren, waarbij gebruik wordt gemaakt van geautomatiseerde hulpmiddelen.
Onder de titel ‘Ruimte voor beveiliging en continuïteit’ behandelt een viertal auteurs een praktijkgeval. Het corporate information security programma ontwikkeld door dr. E. Roos Lindgreen is in de praktijk gebruikt om bij het Bouwfonds Nederlandse Gemeenten informatiebeveiliging op een hoger plan te krijgen. In het artikel wordt weergegeven op welke wijze het project is aangepakt, de voortgang is gemeten en tot welke resultaten het plan op het gebied van beveiliging en continuïteit van de geautomatiseerde informatieverzorging heeft geleid. Vermeldenswaard is dat het project met medewerking van verschillende organisaties werd gerealiseerd.
In het laatste artikel van dit nummer gaat dr. ir. P.L. Overbeek in op de nieuwe versie van de Code voor Informatiebeveiliging. Reeds in 1994 verscheen de Nederlandse vertaling van BS7799, de Code of Practice for Information Security Management. In de achterliggende jaren heeft de Code zich kunnen verheugen in een toenemende belangstelling. Zelfs werd een certificatieschema voor de Code voor Informatiebeveiliging ontwikkeld. De ontwikkelingen in gebruik en toepassing van informatie- en communicatietechnologie staan evenwel niet stil. De auteur geeft een goed overzicht van de nieuwe Code en geeft aan welke verschillen er ten opzichte van de versie 1994 bestaan.
Het spreekt welhaast vanzelf dat de redactie ook dit nummer graag in uw aandacht aanbeveelt.