Assets
Ratiocinator Echte kwaliteit verloochent zich niet
IRM
© F.H.B. Kersten 2014-2024
asset anything that has value to the organization NOTE There are many types of assets, including: a) information; b) software, such as a computer program; c) physical, such as computer; d) services; e) people, and their qualifications, skills, and experience; and f) intangibles, such as reputation and image. [ISO/IEC:27000]  

Definitie

Hoewel termen als ‘informatiebeveiliging en ‘information risk management’ zouden kunnen suggereren dat het alleen gaat om het beveiligen van informatie, gaat het om meer. ISO/IEC-27000:2009 geeft een hele brede definitie, die hiernaast in het kader is aangegeven. Het gaat dus om alles dat van waarde is voor de organisatie.

Verschillende methodes, verschillende benaderingen

De verschillende methoden voor IRM gaan hier verschillend mee om. Dat hangt ook samen met het beschouwingsgebied van de analyse en de vrijheid van modelleren. Bijvoorbeeld CRAMM eist dat bij de start van de volledige risicoanalyse een uitgebreid asset model wordt opgesteld en volgens een bepaalde systematiek waardering van die assets plaatsvindt. Uiteindelijk worden de voorgestelde maatregelen ook aan deze assets gekoppeld (de wijze waarop deze koppeling plaatsvindt is niet altijd logisch). Andere methoden stellen toch de informatie en het informatiesysteem centraal en bevatten wel maatregelen voor andere assets, maar gaan daar in de analyse niet verder op in c.q. doen daar niets mee.

Assets als startpunt voor de analyse

Ga je niet uit van een vaste methode zoals CRAMM of ISF-IRAM, dan kunnen de assets een startpunt voor de risicoanalyse vormen. Als motief geldt dat organisaties meestal een activa- administratie of anders wel een configuration management database hebben. Dit geeft dan direct een vrij compleet beeld. Degenen die wat langer in het vak zitten en de milleniumproblematiek of een grootschalige invoering van IRM of configuratie management hebben meegemaakt weten dat de praktijk veelal weerbarstiger is. Vormen de assets het startpunt voor de risicoanalyse dan kan vervolgens geïnventariseerd worden aan welke dreigingen die assets bloot staan, welke kwetsbaarheden er zijn, wat de impact is als een dreiging zich voordoet en welke maatregelen dan nodig zijn. Nadeel van deze aanpak is dus dat de analyse onvolledig wordt als je assets mist. Verder is sprake van de gebruikelijke complexiteit in de vorm van n:m relaties: één dreiging kan betrekking hebben op meer assets.
information asset knowledge or data that has value to the organization [ISO/IEC:27000]