De discussie is al meerdere malen gevoerd en zal waarschijnlijk ook nog vaker gevoerd worden als de meldplicht voor digitale inbraken niet van de grond komt. Het blijft een interessant onderwerp met voors en tegens. Maar laten we iets verder kijken dan onze neus lang is.
De Europese Commissie wil vanaf volgend jaar richtlijnen om het vertrouwen in certificaat-autoriteiten als DigiNotar in de toekomst te herstellen. Eurocommissaris Neelie Kroes denkt verder na over een mogelijke meldplicht voor digitale inbraken…
Een Iraanse hacker kraakte dit jaar de Nederlandse ssl-autoriteit DigiNotar en wist daardoor honderden vervalste certificaten aan te maken. De kritiek op het handelen van DigiNotar was groot en het bedrijf ging failliet. Securitybedrijven pleiten als reactie op de problemen voor beveiligingsstandaarden. Verder denkt het Nederlandse parlement na over de oprichting van een zogeheten ‘ict-brandweer’. (bron)
Kijken we terug naar het bericht dat we gisteren aanhaalden. Dan is het niet zo gek dat de IT-managers het onderwerp zo stressvol vinden. Je gaat er toch vanuit dat jouw leverancier van certificaten het goed voor elkaar heeft. Helaas weten we inmiddels beter. Maar trek deze lijn eens door. Gaan we er ook niet vanuit dat onze energieleverancier het goed voor elkaar heeft? Willen we niet zeker zijn van een bepaalde stroomvoorziening?
Geloof me, deze vraag gaat veel verder dan je certificaat-leverancier en je energiemaatschappij. Het geldt uiteindelijk voor de gehele keten. Wij als organisatie kunnen het nog zo goed voor elkaar hebben, maar als onze leveranciers en afnemers er minder aan doen, dan komt het al snel onder druk te staan.
We hebben de leveranciers nodig om onze eigen producten en diensten te kunnen leveren. We hebben de afnemers nodig om onze producten en diensten aan te kunnen verkopen. Allemaal geen hogere wiskunde natuurlijk. Maar wat als we de leveranciers onder druk zetten? Zij moeten nog goedkoper gaan leveren omdat we anders niet op prijs kunnen concurreren. Drie keer raden waar zoal op beveiligd wordt.
We haalden het al vaker aan. Informatiebeveiliging is gewoon een bedrijfskundig onderdeel dat we af moeten stemmen op onze strategie. Daar zit hem, in de huidige economie, wellicht een knelpunt. Er zijn verschillende concurrentiestrategieën (focus, differentiatie en prijs).
Veel organisaties kiezen op dit moment voor een prijsstrategie. Blijkbaar kunnen zij zich onvoldoende onderscheiden en blijkbaar durven ze geen keuze te maken voor bepaalde marktsegmenten. Kiezen we inderdaad voor “prijs” dan moeten we de keten onder grote druk zetten om maar zo goedkoop mogelijk te leveren. Dan gaan we al snel bezuinigen op kwaliteit…en daar is informatiebeveiliging onderdeel van.