Microsoft: Stop de paniekzaaierij

Stop de FUD, dat is de boodschap van Microsoft aan beveiligingsgemeenschap en pers. Volgens de softwaregigant wordt er teveel onjuiste informatie verspreid, waardoor eindgebruikers een verkeerd beeld van de risico’s krijgen die ze online lopen…”We zien graag dat mensen betrokken raken. Stop de FUD. We zien dat de vijand van ons succes in het voorkomen van online criminaliteit in paniekzaaierij ligt, wat weer tot sensationalisme kan leiden. Als gemeenschap moeten we bij de feiten blijven en zorgen dat we de juiste context rond de risico’s van beveiligingslekken in software geven.” (bron)

Je kan zeggen van Microsoft wat je wil en ik ben geheel onpartijdig en niet voor of juist tegen Microsoft, Microsoft is voor mij gewoon een feit. In dit geval vind ik in ieder geval dat ze er goed aan doen om te waarschuwen voor paniekzaaierij, ik geef ze helemaal gelijk.

We willen nog te graag paniek zaaien en beveiliging exotisch maken, daar moeten we (als beveiligingsexperts) mee stoppen. Beveiliging is gewoon één van de bedrijfskundige uitdagingen waar een organisatie mee moet stoeien. Niet wezenlijk verschillend van bijvoorbeeld kwaliteitsmanagement. Zolang we beveiliging exotisch houden, verdienen we niet het respect van het management dat nodig is om ze echt te helpen.

Om het minder exotisch te maken moeten we veel meer ‘business talk’ hanteren. Een manager zit helemaal niet te wachten op de details en de ‘bits and bytes’. Sterker nog, daar snapt hij helemaal niets van en dat is maar goed ook. Hij heeft wel andere zaken aan zijn hoofd en moet andere zaken veel beter snappen dan de beveiligingsdetails.

Beveiliging blijft voor veel mensen mysterieus terwijl als we praten over risico’s de managers het ineens wel snappen. Beveiliging is nog steeds niet het doel en dat zal het ook nooit worden. Nee beveiliging is een middel om de risico’s die de bedrijfsvoering kunnen beïnvloeden te beheersen.

Ook met de paniekzaaierij moeten we stoppen, de risico’s en beveiligingsincidenten moeten we in een groter verband zien. Heeft dat incident nu echt zoveel invloed op de continuïteit van het bedrijfsproces of valt het eigenlijk wel mee? Als er een paar laptops gestolen worden is dat natuurlijk vervelend (en we kunnen het incident best onderzoeken) maar het bedrijfsproces zal er waarschijnlijk nauwelijks hinder van ondervinden.

Toch zien we vaak dat na een incident alle registers open gaan en er veel tijd wordt gestoken in het onderzoeken daarvan. Daarmee verliezen we vaak uit het oog wat nu de echte risico’s zijn die de organisatie loopt: nu even niet, we zijn een incident aan het onderzoeken. Dat is natuurlijk heel erg reactief. Natuurlijk moeten we repressieve maatregelen nemen om het incident in te dammen maar daarna moeten we weer zo snel mogelijk terug in de pro-actieve modus om te proberen nieuwe incidenten te voorkomen.

Zodra organisaties gaan kijken naar de echte risico’s die ze lopen kunnen ze daarbij ook nog eens een berg geld besparen omdat ze niet aan allerlei futiliteiten geld hoeven uit te geven. Maar goed, we zien dat het vaak makkelijker is om budget te vragen voor een concrete maatregel dan dat we geld willen hebben voor het afdekken van abstracte risico’s. Om dat op te lossen moeten we vanuit de beveiligingskant meer ‘business talk’ hanteren, moeten we paniekzaaierij voorkomen en moet het management begrijpen dat we niet aan beveiliging doen maar risico’s voor ze afdekken.

Er zal nog behoorlijk wat water door de Maas gaan voordat we het echt goed in de klauw hebben, maar dat is nu juist de uitdaging. Beveiliging is geen technisch probleem maar een bedrijfskundig probleem om de risico’s voor de bedrijfsvoering te beheersen en dat we daarvoor soms technische maatregelen nemen is een bijkomstigheid.