Het midden- en kleinbedrijf heeft een blinde vlek voor de risico’s die moderne ontwikkelingen zoals het Nieuwe Werken met zich meebrengen. Informatie ligt vaak onbewust te grabbel, computernetwerken worden vanuit onverdachte hoek bedreigd en de sociale controle op wie het bedrijf binnenkomt kalft af (bron).
Voordat we nieuwe ontwikkelingen in de weg willen gaan staan (omdat ze nu eenmaal niet veilig zijn), moeten we eerst kijken over welke risico’s we het hebben. Welke nieuwe risico’s brengt het nieuwe werken eigenlijk allemaal met zich mee en hoe erg is dat dan voor onze organisatie?
Natuurlijk heeft een nieuwe ontwikkeling ook nieuwe risico’s. Dat is logisch en ook helemaal niet erg. Hoewel er natuurlijk nog genoeg beveiligers zijn die nieuwe ontwikkelingen liever zien gaan dan komen, zijn we hiermee aangekomen bij de verdere volwassenheid van beveiliging (althans, als het aan mij ligt).
We moeten niet langer redeneren vanuit allerlei beveiligingsmaatregelen, zoals we nog te vaak doen, maar we moeten uitgaan van de risico’s. Als we die eenmaal in kaart hebben kunnen we ook kijken hoe groot de kans en de impact zijn voor onze organisatie. Daarna kunnen we kijken wat we er aan willen doen om deze risico’s te beperken. Zo zien we maar dat nieuwe ontwikkelingen ook kunnen leiden tot een nieuwe aanpak van beveiliging. Niet de makkelijkste weg maar wel een heel uitdagende weg.
Lezen we het originele bericht dan kunnen we in ieder geval al aan ons risico-lijstje toevoegen:
- Informatie ligt vaak onbewust te grabbel
- Computernetwerken worden vanuit onverdachte hoek bedreigd
- De sociale controle op wie het bedrijf binnenkomt kalft af
Allemaal leuk en aardig, maar daar kan natuurlijk geen enkele organisatie iets mee. Nee, wat we moeten doen is de oorzaken achterhalen. Lukt ons dat, dan kunnen we ook gericht maatregelen nemen om die oorzaken weg te nemen.
Daarbij moeten we natuurlijk wel de juiste maatregelen nemen. Stel nu dat we de kans hoog inschatten dan moeten onze maatregelen erop gericht zijn om de kans te verlagen. Is de impact daarentegen hoog dan richten onze maatregelen zich natuurlijk op de verlaging van die impact. Toch? Theoretisch helemaal waar en hogere wiskunde hoef je voor die logica ook niet gestudeerd te hebben.
In de praktijk helaas allemaal wat lastiger. We zien nog te vaak een mismatch tussen de oorzaken en de risico’s aan de ene kant en de maatregelen die we treffen aan de andere. Een pasklaar antwoord heb ik helaas ook niet voor je. Maar door berichten als hierboven te lezen en door logisch na te denken moeten we een heel eind kunnen komen. Wacht daar niet te lang mee want dan heeft een risico zich misschien al gemanifesteerd en kunnen we de zaak op slot doen (letterlijk of figuurlijk).
We kunnen het nieuwe ontwikkelingen blijven noemen, maar inmiddels zijn ze er alweer een poosje. Heb je nog niet aan risico analyse gedaan dan wordt het zo langzamerhand wel een keertje tijd.