Vals gevoel van veiligheid

Er heerst een vals gevoel van veiligheid bij IT-afdelingen. Waar de cybercriminelen de afgelopen jaren sterk zijn geëvolueerd met zeer geavanceerde malware aanvallen, zijn de IT-afdelingen achtergebleven. De gevolgen hiervan kunnen desastreus zijn voor bedrijven die denken dat ze veilig zijn (bron).

Hoewel dit bericht is geplaatst op een website van onze Zuiderburen kunnen we deze constatering wat mij betreft regelrecht doortrekken naar ons Kikkerlandje. Alleen zou ik mezelf niet zijn als ik er niets op aan te vullen had.

Wat mij betreft lopen we er constant tegen aan dat er een verschil is tussen “business security”, “information security” en “IT security” (nog los van het feit dat we dat doen op basis van risico management en voor de bedrijfscontinuïteit). Voor de buitenstaander lijken deze termen wellicht hetzelfde maar er is een groot verschil. Zo zou de IT-afdeling zich vooral zorgen moeten maken om de “IT security” die een afgeleide moet zijn van “information security” dat op zijn beurt weer is afgeleid van “business security”.

Ik pleit nog steeds voor een top-down benadering waarbij de dus beginnen met de “business security”. Willen we die goed in kunnen richten dan moeten we kijken welke missie, visie en strategie onze organisatie heeft. Deze moeten als uitgangspunt genomen worden. Als het goed is hebben we voor de korte, middellange en lange termijn doelstellingen bedacht die bijdragen aan onze missie, visie en strategie, toch? Dit klinkt misschien allemaal wat abstract, maar het een kan niet zonder het ander en als we niet weten welke kant onze “reis” op gaat, waar moeten we dan heen rijden?

Weten we welke uitgangspunten we kunnen hanteren voor onze “business security” dan kunnen we vervolgens kijken welke informatievoorziening daaraan een bijdrage levert en hoe kritisch die informatievoorziening dan is. We noemen het “information security” en dat is wezenlijk anders dan “IT security”. Begrijp me goed, ik schrijf dat het anders is en niet dat het een beter of belangrijker is dan het ander. Nee, sterker nog, de verschillende security benaderingen hebben elkaar maar al te hard nodig.

Goed, laten we het hier proberen kort te houden. Weten we welke informatievoorziening voor ons van belang is, dan kunnen we kijken welke informatie technologie die informatievoorziening mogelijk maakt. Welke hardware, welke applicaties, welke besturingssystemen, welke netwerken zorgen er eigenlijk voor dat we over de informatie kunnen beschikken als we ze nodig hebben (beschikbaarheid), wie heeft er eigenlijk allemaal toegang tot die informatie (exclusiviteit) en hoe juist is die informatie eigenlijk (integriteit)?

De conclusie dat er een vals gevoel van veiligheid heerst bij de IT-afdelingen wil ik nuanceren: er heerst een vals gevoel van “IT security” op IT-afdelingen. Net zoals er, als je het mij vraagt, een vals gevoel van “business security” heerst bij het top management van veel organisaties. En dat is onbegrijpelijk als we de missie, visie, strategie en doelstellingen serieus willen nemen. Een top down benadering op basis van risico management en gericht op bedrijfscontinuïteit lijkt hier toch beter op zijn plaats. Of niet?