NIJMEGEN – Veel bedrijven denken te licht over het online beveiligen van klantgegevens. Dat zei hoogleraar computerbeveiliging Bart Jacobs van de Radboud Universiteit in Nijmegen dinsdag. Volgens Jacobs moeten bedrijven bij het opzetten van een ICT-project er rekening mee houden dat een kwart van het budget moet worden geïnvesteerd in het beveiligen van de website en daarbij de klantgegevens. (bron)
Als een hoogleraar het zegt dan zal het wel waar zijn, toch? En deze hoogleraar kan ik natuurlijk alleen maar bijvallen. Er wordt inderdaad te licht gedacht over beveiliging en daar moet vanaf heden verandering in komen. Tenminste als het aan mij ligt, maar dat roep ik natuurlijk al jaren en dat blijf ik ook roepen. Op een gegeven moment moeten anderen dat dan toch overnemen?
Veelal zien we trouwens dat beveiliging nog steeds niet begrepen wordt. De gevolgen uiten zich dan inderdaad in een beveiligingsincident, maar de oorzaken liggen meestal buiten het vakgebied. Incidenten worden bijvoorbeeld veroorzaakt door onbekendheid met beveiliging, door gebrek aan patchmanagement, door bezuinigingen op de verkeerde gebieden en ga zo nog maar even door.
Natuurlijk moeten we niet de hele beveiliging in 1x volledig dicht willen timmeren. Dat is ook helemaal niet nodig (en enorm kostbaar). Wat we wel kunnen doen is ervoor zorgen dat we bij alle nieuwe ontwikkelingen beveiliging ook meenemen. Dat doen we niet door uit te gaan van de beveiligingsmaatregelen, maar door de risico’s die we af willen dekken. Doen we dat op de juiste manier dan zullen we minder en minder risico’s lopen (nieuwe zaken zijn immers al redelijk beveiligd).
Vervolgens kijken we naar alle zaken die we nu al in beheer hebben. Daarbij kijken we goed naar de meest kritische bedrijfsprocessen en de daarbij behorende kritische informatiesystemen (uiteraard in termen van: beschikbaarheid, exclusiviteit en integriteit). Op basis daarvan kunnen we dan ook de grootste risico’s in de operatien wegnemen.
Zo werken we het “achterstallig” onderhoud weg en voorkomen we dat onveilige systemen in productie gaan. De komende jaren zorgen we er steeds voor dat er meer en meer bestaande systemen beter beveiligd worden en over een aantal jaar hoeven we ons al een stuk minder zorgen te maken.
Maar, zoals gezegd, zijn de oorzaken voor de beveiligingsincidenten vaak gelegen buiten het vakgebied. We moeten dus zorgen voor zogenaamd “goed huisvaderschap”. Daar profiteert niet alleen de beveiliging van maar het zorgt er ook voor dat we op andere gebieden “in control” raken. Sterker nog, het zou zomaar zo kunnen zijn dat hierdoor ook de efficiëntie binnen de organisatie toeneemt.
Vergezocht? Nou, dat valt volgens mij wel mee. Kijk nog even naar patchmanagement. Dat zorgt er niet alleen voor dat de systemen voorzien zijn van de laatste patches, maar zorgt er ook nog eens voor dat nieuwe functionaliteiten in de systemen worden doorgevoerd. Je werkt toch ook niet meer met wordPerfect 6.1? Nee, je bent inmiddels gewend geraakt aan de nieuwst Office versie van Microsoft en die heeft het voor een berg mensen makkelijker gemaakt om brieven te typen, toch?
Nou dan, waarom zorgen we er dan niet voor dat we voor andere systemen ook over de laatste patches beschikken? Komt het omdat we het niet weten of omdat we het niet willen? Zo zie je maar, de gevolgen uiten zich als beveiligingsincident maar de oorzaken liggen ergens anders.