Toch nog maar even doorgezocht op reputatieschade en of mijn stelling klopt dat men eerder bevreesd is voor imagoschade dan voor de financiële kant van de zaak. En zie hier:
Bestuursleden van grote ondernemingen zijn in geval van een omvangrijk incident of schandaal – zoals (vermeende) corruptiezaken, belastingschandalen of datalekken – meer bevreesd voor reputatieschade (57%) dan voor de gevolgen voor de beurskoers (39%) en eventuele financiële represailles/boetes (33%).
Vanuit risico management weten we dat we moeten kijken naar de risico’s op het gebied van omzet, kosten en imago. Met de economische situatie van de afgelopen jaren was de focus vooral op de kosten. Nu we langzaam weer uit het dal klimmen lijkt de focus meer en meer te verschuiven naar het imago.
De afgelopen jaren passeerden een aaneenschakeling van reputatieschandalen rond bestuurlijk falen de revue, denk bijvoorbeeld aan InHolland, Vestia, Amarantis, Imtech en ga zo maar door. Dit zijn geen incidenten meer, er lijkt hier sprake te zijn van een bestuurlijke trend. En hoogstwaarschijnlijk volgen er binnenkort nog meer reputatieschandalen van deze ordegrootte.
Mildred Hofkes schreef hierover een interessante column op De Telegraaf.
Wie zijn product aanbiedt aan een bedrijf, heeft met andere normen te maken dan een ondernemer die binnen de consumentenmarkt opereert. 10 regels die je je goed moet beseffen.
1. Trapsgewijze verkoop
2. Lange termijn relaties
3. Klantenservice
4. Veeleisendheid
5. Gebruikers versus kopers
6. Horseraces
7. Langere salescycli
8. Hogere saleskosten
9. Politiek is een belangrijke factor
10. Je hebt geen publiek imago
Natuurlijk lees je het hele bericht op Sprout.nl
Na het bericht over het aanstellen van CISO’s in grote bedrijven en het feit dat wij, als informatiebeveiligers, ons best moeten doen om aansluiting te vinden bij het top management van de organisatie gaan we daar vandaag verder op in.
Nederlandse CFO’s geven de computerbeveiliging van hun bedrijf gemiddeld een 6,8. Dat blijkt uit onderzoek van Deloitte. CFO’s zijn vooral bang voor reputatieschade, als hun bedrijf ten prooi valt aan cybercrime (bron).
Dit bericht bevestigd waar we het al vaker, veel vaker, over hebben gehad. Het gaat het management helemaal niet om de technische of de informatiebeveiligingsrisico’s. Nee, het gaat het top management om kosten, omzet en imago. Blijkbaar worden de CFO’s met name getriggerd door het imago van de organisatie.
Bij onze volgende risico analyse moeten we dus extra aandacht besteden aan het risico voor ons imago. Prima dat we duidelijk willen maken dat onze firewall echt niet meer kan en dat we daarmee grote risico’s lopen. Maar leg dan ook uit dat we het risico lopen dat klantgegevens op grote schaal op straat komen. De CFO kan dan zelf wel bedenken dat hij dit een onacceptabel risico voor de organisatie vindt.
Bekijken het we zo en houden we in ons achterhoofd dat veel organisaties geen CISO hebben, dan moeten er misschien voor zorgen dat de CFO onze grootste sponsor wordt. Een 6,8 klinkt als een voldoende maar is dat misschien voor jouw organisatie helemaal niet. En ja, dat cijfer is arbitrair maar kan ons ook helpen om daadwerkelijk meer aan beveiliging te gaan doen.
Maar laten we dan ook terug vallen op het feit dat het niet alleen gaat om technische maatregelen. Nee, we maken duidelijk welke risico’s we lopen (voor het imago) maar we geven ook duidelijk aan met welke combinatie van technische, organisatorische en procedurele maatregelen we dat risico naar een acceptabel niveau kunnen brengen.
De komende jaren hebben we echt de kans om informatiebeveiliging naar de volgende volwassenheidsfase te laten groeien. Aan ons de keus of we die kans voorbij laten gaan of met beide handen aanpakken.
Niet alleen de grote en meer bekende organisaties staan in “the picture” als het gaat om beveiligingslekken maar ook komen er steeds meer berichten naar buiten van websites die gehackt zijn…nou ja, gehackt: ook hierbij zien we weer dat er niet heel veel technische kennis nodig was om achter de gegevens te komen.
Maar ja, als gebruiker en geregistreerde van deze websites sta je dan mooi voor paal:
De pornosite Videosz.com heeft de privégegevens van honderdduizenden klanten gelekt. Een lezer van het Duitse Heise ontdekte een IP-adres waar een onbeveiligde phpMyAdmin installatie op draaide. Zodoende kreeg hij zonder enige authenticatie toegang tot de database, met daarin adresgegevens, wachtwoorden, creditcardgegevens en welke pornofilms gebruikers hadden gedownload (bron).
Of wat denk je van deze?
YouPorn, de populairste pornosite op het internet, heeft de gegevens van meer dan een miljoen geregistreerde gebruikers gelekt. Het gaat om wachtwoorden en e-mailadressen. “Deze informatie is te gebruiken om pornoverbruikers te identificeren, maar voor sommige gebruikers staat er meer dan alleen de reputatie op het spel”, zegt beveiligingsonderzoeker Anders Nilsson (bron).
Gelukkig volgde er op het tweede bericht al snel een update:
Volgens YouPorn gaat het niet om gebruikers van de videosite, maar om gebruikers van dating/chatsite YP Chat. Dit zou een gescheiden dienst zijn die vanaf YouPorn.com werd gelinkt. De chatdienst werd door een derde partij beheerd en zou niet met YouPorn.com geassocieerd zijn. Ook zou YP Chat niet op YouPorn-servers gehost zijn.
YP Chat zou zomaar een afkorting van YouPorn Chat kunnen zijn. Het bedrijf mag dan aangeven dat een dergelijke dienst is uitbesteed en dat zij daar niet mee geassocieerd kunnen worden. Maar ja, het imago heeft inmiddels al een flinke deuk opgelopen. Voor de gebruiker doet het er ook helemaal niet toe of het nu wel of niet formeel geassocieerd mag worden met elkaar. Nee, ook hier gaat het weer gewoon om perceptie.
Denkt of ervaart de klant dat YP Chat onderdeel is van YouPorn dan is het YorPorn die de klappen krijgt. Niet zo gek natuurlijk. We haalden het in het verleden ook al aan, maar al die terugroep acties van Toyota hebben de leveranciers van dat merk minder imago schade opgeleverd dan Toyota. Natuurlijk kun je hard roepen dat alles is uitbesteed, maar was de keten niet zo zwak als de zwakste schakel? Juist.
Of je nu uitbesteedt of niet, dat maakt voor de klant helemaal niets uit. Sterker nog: degene die uitbesteedt moet gewoon haar verantwoordelijkheid nemen. Heeft je leverancier het niet goed in de klauw dan moet je daar betere eisen aan stellen, je moet ze helpen en dat doe je niet door de contracten nog verder te onderhandelen want daarmee schiet je alleen jezelf maar in je voet.
Maar goed, ben je nog op zoek naar een interessant chat-maatje dan weetje nu dat je genoeg email-adressen kunt vinden door nog even goed te zoeken. Ik wens je hele leuke gesprekken, maar houd het alsjeblieft wel een beetje discreet want voor je het weet ligt jouw hele chat-geschiedenis ook op straat.
Gisteren zijn we kort ingegaan op het risicomanagement dat we moeten voeren. Daarbij zijn we ook al ingegaan op de juiste set aan beveiligingsmaatregelen (als we er tenminste voor hebben gekozen de risico’s te mitigeren). Leuk en aardig allemaal, natuurlijk, maar als we willen gaan voor een efficiënte benadering zullen we dus ook moeten kijken naar de kosten en de baten. De volgende logische vraag is dan ook niet voor niets:
Vinden de beslissingen om beveiligingsmaatregelen te nemen plaats op basis van een kosten/baten analyse (business value)?
Als ik je vraag om een briefje van € 10,- te beveiligen, ga je natuurlijk geen kluis aanschaffen van € 1.000,-. Dat zou wel erg vreemd zijn, toch? De kosten wegen dan niet tegen de baten op. Toch zien we in de praktijk dat de kosten voor de beveiligingsmaatregelen best inzichtelijk te maken zijn, de baten zijn echter een ander verhaal. Wat is het ons eigenlijk waard om dat stuk informatie te beveiligen? Of anders gezegd: wat is de waarde van die informatie voor ons? De beveiligingsmaatregel die getroffen wordt moet afgestemd zijn op het risico en op de waarde van hetgeen we willen beveiligen.
Hoewel we in de praktijk wel veel zien dat de kosten voor verschillende beveiligingsmaatregelen onderling worden vergeleken (en er dan veelal voor de goedkoopste oplossing wordt gekozen, waarbij we de kwaliteit nog wel eens uit het oog verliezen maar goed, dat is een ander verhaal) zien we nog te weinig dat er een goede business case wordt opgesteld.
Om te kunnen bepalen wat een beveiligingsmaatregel zou mogen kosten moeten we kijken naar de waarde die we willen beveiligen. Dat kan direct waarde zijn (bijvoorbeeld in de vorm van geldelijke waarde) maar kan ook betekenen dat we de gevolgen van een incident moeten doorberekenen. De vraag die we bijvoorbeeld kunnen stellen is: wat kost het ons als het proces een dag uitvalt en wat zijn de kosten van de maatregelen om die uitval te voorkomen.
Een goede, doorgerekende, business case zou altijd ten grondslag moeten liggen aan de keuze om wel of niet te investeren in een beveiligingsmaatregel. Hierbij moeten we niet uit het oog verliezen dat we bepaalde risico’s ook best kunnen accepteren omdat bijvoorbeeld de kwaal erger (lees ook: duurder) is dan het middel.
Het risico van het ontbreken van een goede kosten/baten analyse is het ontbreken van zicht op de mate waarin de beveiligingskosten opwegen tegen de daadwerkelijke waarde of de gevolgschade. Afhankelijk van de organisatie wordt er dan al snel te weinig aan beveiliging besteed, waardoor we risico’s lopen. Of er wordt juist vele malen teveel besteed aan beveiliging waardoor de beveiligingsmaatregelen te duur uitvallen.
Als we op deze wijze omgaan met risicomanagement en kosten/baten analyses dan kunnen we concluderen dat het helemaal niet draait om informatiebeveiliging of operationele risico’s. Nee, het draait allemaal om de zogenaamde “enterprise risks” en die kunnen we kortweg samenvatten als: omzet, kosten en imago.
Als gevolg van een beveiligingsincident zullen we zien dat we omzet mislopen (omzetdaling), dat we veel kosten moeten maken om terug te keren naar de business as usual (kostenstijging) en dat bij het bekend worden van een incident ons imago een deuk op kan lopen (imagoschade). Onze kosten/baten analyse moet daarop gebaseerd zijn, dan kunnen we met een goed verhaal naar het management gaan…en begrijpen ze ons ook beter dan dat we iets roepen over het risico op brand, hacking, cracking of virussen.
Kortom: als informatiebeveiliging ondersteunend is aan de bedrijfsvoering, dan moeten we die relatie ook leggen om de juiste, evenwichtige set aan maatregelen te nemen.
E-mailaanbieder en marketingbureau Epsilon is na de recente diefstal van miljoenen e-mailadressen weer begonnen met het versturen van marketing e-mails. Aanvallers wisten toegang tot de gegevens van meer dan 50 bedrijven te krijgen die bij Epsilon klant zijn…In een nieuwe verklaring laat Epsilon weten dat er alleen e-mailadressen en namen zijn gestolen, en er geen persoonlijke identificeerbare informatie, zoals social security nummers of creditcards, zijn buitgemaakt…Wel maakt het bedrijf zich zorgen dat vanwege het incident “grote klanten” zullen vertrekken. Het terugwinnen van het vertrouwen van de klanten heeft dan ook op zowel korte als lange termijn de hoogste prioriteit. Daarnaast maakt Epsilon nogmaals excuses voor het datalek (bron).
Excuses niet aanvaard…en nu? Als klant heb je natuurlijk niet zoveel keuze. Je kunt best weglopen bij het bedrijf, maar het leed is al geschied. De e-mailadressen en namen liggen op straat.
Natuurlijk kan ik je hier nogmaals vertellen dat het bij informatiebeveiliging eigenlijk maar om drie zaken gaat: omzet, kosten en imago. Maar dat gaan we niet doen, omdat Epsilon inmiddels ook wel weet dat, dat het echte probleem is.
Nee, laten we nu maar eens de keten aanhalen. Zoals we weten (althans, we zeggen dat we dat weten) is de keten zo zwak als de zwakste schakel. Dat is niet alleen zo in een ketting, maar bijvoorbeeld ook in een logistiek proces. Als de grondstofleverancier niet kan leveren, dan komt mijn eindproduct nooit bij de consument.
Maar trek nu eens de parallel naar informatiebeveiliging? Meer en meer organisaties beschikken over elkaars gegevens of kunnen bij elkaar in de systemen. Hartstikke prettig dat ik als organisatie dan ISO-gecertificeerd ben, maar hoe zit het met mijn leverancier en afnemers? Zijn die wel net zo bezorgd om beveiliging van de gegevens als dat wij dat zijn?
Uiteraard sluiten veel organisaties SLA’s af om zeker te kunnen zijn van een bepaalde mate van dienstverlening. Daarin nemen we ook graag de optie op om de leverancier te mogen auditen. Een goede beveiligingsparagraaf ontbreekt echter nog vaak in de SLA en controleren van de beveiliging doen we al helemaal niet, stel je voor.
Zolang de ketens steeds meer van elkaars systemen gebruik gaan maken is een eenzijdige aanpak van informatiebeveiliging niet voldoende meer. Nee, willen we de risico’s echt afdekken dan zullen we toch echt naar de hele keten moeten kijken.
Is dat dan zo makkelijk? Nee, natuurlijk niet maar het oplossen van je eerste Sudoku puzzel was dat ook niet, nu los je die puzzeltjes in een paar minuten op. Was je er toen nooit mee begonnen dan was het nu nog steeds zo ingewikkeld. Dat zelfde geldt net zo hard voor de controle van de keten: natuurlijk is het niet makkelijk, maar bedenk dat het over een jaar nog net zo ingewikkeld is als we niet nu al beginnen.
Wat ik voor je kan betekenen? Dat leg ik je graag uit, maar laten we eerst beginnen met het op orde brengen van de informatiebeveiliging binnen jouw organisatie voordat we naar de keten kijken…je wilt immers niet tot de conclusie komen dat jij de zwakste schakel bent.
Deze maand sluiten we ook weer af en laten we achter ons. Op naar maart, op naar de lente. Maar voor we dat doen moeten we uiteraard weer een bericht schrijven voor dit blog.
Nu maar eens niet een bericht dat gelinkt is aan een recent nieuwsbericht. Nee, een bericht over een fenomeen dat al jaren bestaat en waar we ons nog te weinig van bewust zijn. De sporen die we achter laten op internet. Geef het maar toe, als jij een nieuwe naam tegenkomt dan Google je hem of haar ook even, toch? Nou ik wel. Ik wil wel even weten wie ik voor me heb (figuurlijk dan). Vanaf nu ga je dat dan waarschijnlijk ook doen en ik zou eens beginnen met je eigen naam.
Als het goed is probeer je op internet een imago op te bouwen dat past bij jouw offline imago, toch? Dan is het misschien handig om eerst te kijken naar de profielen die je hebt. Veel mensen beschikken (voor hun zakelijke netwerk) over LinkedIn en Hyves of Facebook (voor hun privé-leven).
Natuurlijk kun je zaken en privé gescheiden houden, maar op internet zijn die twee toch al snel gelijk aan elkaar. Plaats je op LinkedIn een foto met je serieuze gezicht? Op Hyves zet je de foto van het laatste feestje waar je niet alles meer van weet.
Niet waar? Ehm, ik heb de proef op de som genomen met de laatste nieuwe naam die ik tegen kwam. Omdat ik hier niet ben om mensen te schaden ga ik de naam niet noemen en plaats ik de foto’s anoniem (herken je jezelf, ja sorry die zwarte strepen komen van mij, ik heb tenminste nog geprobeerd je te anonimiseren).
Uiteraard mogen jullie de verschillen zoeken en raden welke foto bij LinkedIn en welke bij Facebook hoort. Een niet al te ingewikkelde opgave, toch?
Oke, oke, ik weet het. Door een dergelijk blog te schrijven is er natuurlijk direct het risico dat mijn naam flink geGoogled wordt. Nou, succes, je komt me zeker tegen en het zal je niet verbazen dat dat vaak is in relatie tot security en risk management. Geen probleem, schokkende zaken kom ik niet over mezelf tegen (jij wel? Ehm laat het me weten dan, dan kan ook ik er wat aan doen).
En voor diegene die denken dat ik heel sportief ben en op voetbal zit (omdat mijn Hyves-profiel dat bevestigd) blijf dat vooral lekker denken. Maar vergeet niet…er kunnen best meer hondjes zijn die fikkie heten. Ik denk zelf dat ze me toch wat te oud vinden voor de D pupillen en de scholierencross in Apeldoorn zal ik ook wel nooit winnen. Ik hoop voor mijn naamgenoot trouwens wel dat hij wint, succes jongen, zet hem op, je hebt een naam hoog te houden.
Een Britse IT-manager moet mogelijk de gevangenis in omdat hij honderden patiëntendossiers begluurde. De 22-jarige Dale Trever bekeek in 431 gevallen de dossiers, die allemaal van vrouwen waren. In 336 gevallen ging het om de gegevens van familie, vrienden en collega’s…De IT-manager ging zelfs in het weekend terug om in de dossiers te grasduinen. Trever heeft inmiddels schuld bekend, maar ontkent dat hij de medische dossiers heeft aangepast of geprint. De rechter doet volgende maand uitspraak (bron).
Ja daar kun je op wachten zullen we maar zeggen. Er zijn al vaker discussies gevoerd over de IT-managers en IT-beheerders die toegang hebben tot alle systemen en gegevens zonder dat iemand daar achter komt (tenzij je natuurlijk een goede controle inbouwt of functiescheiding doorvoert). Geloof me het is een risico dat door organisatie te weinig wordt gezien en als het al gezien wordt dan wordt het onderschat.
IT-ers kunnen binnen vele organisaties overal bij, bij klanten dossiers, bij geheime gegevens maar ook bij de financiële gegevens. Vele IT-ers weten dan ook exact wat de directeur verdient. Zeker in tijden van reorganisaties is dit een reëel risico. Zodra er onrust ontstaat zijn je gegevens niet veilig meer. Dat geldt overigens niet alleen voor de IT-ers, maar ook voor de andere medewerkers.
Er wordt wel degelijk onderscheid gemaakt in mappen op servers. Zo kan een medewerker van afdeling A vaak niet bij de gegevens van afdeling B. Maar binnen de mappenstructuur van zijn afdeling kan hij vaak wel alles of heel veel zien. Een kopietje van die gegevens is snel gemaakt en de capaciteit van een USB-stick is ook geen beperking meer.
Reorganisaties, die soms erg onmenselijk zijn, zijn een reëel beveiligingsrisico voor organisaties. Juist in die tijden moeten de beveiligingsmaatregelen verhoogd worden en moet de beveiligingsafdeling voldoende budget hebben. Het omgekeerde is vaak waar, beveiliging is één van de aspecten waarop het eerst bezuinigd wordt, het heeft geen direct omzet gerelateerde meerwaarde (althans dat is de perceptie).
De komende tijd gaan er nog heel wat reorganisaties plaatsvinden en het is te hopen dat de medewerkers dan meer gevoel hebben voor de organisatie dan de organisatie voor de medewerkers. Helaas worden de medewerkers nog te vaak als kostenpost gezien (een erg oude management gedachte).
Oh ja een bijkomend aspect: medewerkers die je organisatie verlaten zijn een ambassadeur voor jouw organisatie. Als je ze slecht behandeld dan kan dat funest zijn voor het imago van de organisatie.
Kortom: reorganisaties zijn een groot beveiligingsrisico voor organisaties, maar dat wordt nog niet vaak onderkend. Schroef de beveiligingsmaatregelen op en behandel je ex-medewerkers met respect.
IBM heeft een zeer pijnlijke blunder begaan door tijdens een beveiligingsconferentie met malware besmette USB-sticks te verspreiden…IBM stuurde alle deelnemers een e-mail met daarin de waarschuwing dat men de USB-stick niet moest gebruiken…Volgens IBM wordt de malware door de meeste virusscanners herkend en is de malware zelf al sinds 2008 bekend. (bron).
Au, inderdaad een pijnlijke blunder en wel om meerdere redenen: 1) het is IBM, 2) het was tijdens een beveiligingsconferentie en 3) de malware is al bekend sinds 2008.
Gelukkig hebben ze direct alle deelnemers een e-mail gestuurd. Maar ja hoeveel mensen die hebben kunnen lezen na de crash van hun pc? Op zich zal dit best meevallen want als er al PC’s gecrashed zijn dan waren die blijkbaar ook niet goed beveiligd en mogen ze zich ook geen beveiligingsexperts noemen als ze hun anti-malware software al 2 jaar niet geupdate hebben.
Maar pijnlijk is het natuurlijk wel voor het imago van IBM. Hoe dit voorval heeft kunnen gebeuren weten ze nog niet. Ja, als klant van IBM zou ik toch nog even goed in mijn Service Level Agreements duiken om te kijken hoe het geregeld is met aansprakelijkheid.
IBM probeert het allemaal nog een op te leuken door aan te geven dat de meeste virusscanners de malware wel zullen herkennen. Dat lijkt een beetje als een kruisraket afschieten op een bevriende natie en dan zeggen dat het afweergeschut gelukkig de kruisraket op tijd onderschept heeft.
