Het niet nemen van bekende basismaatregelen is de grootste bedreiging voor de cyberveiligheid van Nederland. Dat meldt het Cybersecuritybeeld 2011 van het Nationaal Cyber Security Center (bron).
Hoe meer we ons verdiepen in beveiliging, hoe ingewikkelder onze aanpak wordt. We kiezen voor allerlei technisch hoogstaande maatregelen die ons moeten helpen bij het beter beveiliging van onze organisatie. Prima, uitstekend…maar niet voordat we de basis goed geregeld hebben en niet voordat we daadwerkelijk begrijpen dat het gaat om de juiste combinatie van technische, organisatorische en procedurele maatregelen.
Er lopen op dit moment zeer veel initiatieven binnen bedrijven om de beveiliging te verbeteren. In het verleden hebben we een beetje teveel bezuinigd op informatiebeveiliging, dus die achterstand moeten we maar snel inhalen met de nieuwste technische snufjes.
Toch zien we dat organisaties vergeten om even afstand te nemen van hun huidige situatie en situatie die ze uiteindelijk willen bereiken. Zouden organisaties wel de tijd nemen om hun beveiligingsstrategie goed uit te denken dan zou dat niet alleen heel veel geld schelen maar zou er ook nog eens voor zorgen dat de beveiliging vele malen beter wordt.
Het is geen kunst om honderduizenden euro’s in beveiliging te stoppen. Het is wel een kunst om met zo min mogelijk maatregelen een zo goed mogelijk niveau van beveiliging te bereiken. Daarvoor grijpen we niet naar maatregelen maar redeneren we vanuit de risico’s. Weten we die risico’s (en de kans en impact) dan kunnen we bepalen welke risico’s we accepteren en voor welke risico’s we maatregelen willen nemen.
En voor die risico’s waarvoor we besluiten om maatregelen te nemen komen we dan weer terug bij de juiste combinatie van technische, organisatorische en procedurele maatregelen.
Helaas allemaal een utopie. In de praktijk hebben we het gevoel dat we risico’s lopen. Welke dat zijn weten we eigenlijk niet maar de nieuwste technische snufjes moeten ons helpen. Zo gaat het niet werken en zijn we de komende jaren misschien wel bezig om achterstallig onderhoud op het gebied van informatiebeveiliging weg te werken…maar veel veiliger zullen we daar helaas niet door worden.