Tag: it security

Vals gevoel van veiligheid

  door

Er heerst een vals gevoel van veiligheid bij IT-afdelingen. Waar de cybercriminelen de afgelopen jaren sterk zijn geëvolueerd met zeer geavanceerde malware aanvallen, zijn de IT-afdelingen achtergebleven. De gevolgen hiervan kunnen desastreus zijn voor bedrijven die denken dat ze veilig zijn (bron).

Hoewel dit bericht is geplaatst op een website van onze Zuiderburen kunnen we deze constatering wat mij betreft regelrecht doortrekken naar ons Kikkerlandje. Alleen zou ik mezelf niet zijn als ik er niets op aan te vullen had.

Wat mij betreft lopen we er constant tegen aan dat er een verschil is tussen “business security”, “information security” en “IT security” (nog los van het feit dat we dat doen op basis van risico management en voor de bedrijfscontinuïteit). Voor de buitenstaander lijken deze termen wellicht hetzelfde maar er is een groot verschil. Zo zou de IT-afdeling zich vooral zorgen moeten maken om de “IT security” die een afgeleide moet zijn van “information security” dat op zijn beurt weer is afgeleid van “business security”.

Ik pleit nog steeds voor een top-down benadering waarbij de dus beginnen met de “business security”. Willen we die goed in kunnen richten dan moeten we kijken welke missie, visie en strategie onze organisatie heeft. Deze moeten als uitgangspunt genomen worden. Als het goed is hebben we voor de korte, middellange en lange termijn doelstellingen bedacht die bijdragen aan onze missie, visie en strategie, toch? Dit klinkt misschien allemaal wat abstract, maar het een kan niet zonder het ander en als we niet weten welke kant onze “reis” op gaat, waar moeten we dan heen rijden?

Weten we welke uitgangspunten we kunnen hanteren voor onze “business security” dan kunnen we vervolgens kijken welke informatievoorziening daaraan een bijdrage levert en hoe kritisch die informatievoorziening dan is. We noemen het “information security” en dat is wezenlijk anders dan “IT security”. Begrijp me goed, ik schrijf dat het anders is en niet dat het een beter of belangrijker is dan het ander. Nee, sterker nog, de verschillende security benaderingen hebben elkaar maar al te hard nodig.

Goed, laten we het hier proberen kort te houden. Weten we welke informatievoorziening voor ons van belang is, dan kunnen we kijken welke informatie technologie die informatievoorziening mogelijk maakt. Welke hardware, welke applicaties, welke besturingssystemen, welke netwerken zorgen er eigenlijk voor dat we over de informatie kunnen beschikken als we ze nodig hebben (beschikbaarheid), wie heeft er eigenlijk allemaal toegang tot die informatie (exclusiviteit) en hoe juist is die informatie eigenlijk (integriteit)?

De conclusie dat er een vals gevoel van veiligheid heerst bij de IT-afdelingen wil ik nuanceren: er heerst een vals gevoel van “IT security” op IT-afdelingen. Net zoals er, als je het mij vraagt, een vals gevoel van “business security” heerst bij het top management van veel organisaties. En dat is onbegrijpelijk als we de missie, visie, strategie en doelstellingen serieus willen nemen. Een top down benadering op basis van risico management en gericht op bedrijfscontinuïteit lijkt hier toch beter op zijn plaats. Of niet?

Manager vindt scheiden minder stressvol dan IT-security

  door

Een opmerkelijk bericht dat ik vorige week onder ogen kreeg.

72% van de IT-managers vindt een klein auto-ongeluk, persoonlijke schuld of een scheiding minder stressvol dan het verantwoordelijk zijn voor en beschermen van bedrijfsgegevens. Voor 14% is het zelfs minder stressvol om ontslagen te worden dan als IT-manager actief te blijven. Dat beweert beveiligingsbedrijf Websense in een nieuw onderzoek.

Bijna negentig procent van de duizend ondervraagde managers zegt dat hun baan risico loopt als er een beveiligingsincident plaatsvindt, waaronder als er vertrouwelijke gegevens van de CEO of andere bestuurders wordt gestolen. Verder stelt dertig procent dat hun onderneming 100% beveiligd is, terwijl vijftig procent stelt dat ze over voldoende bescherming beschikken, maar dat sommige dreigingen er altijd doorheen zullen glippen. (bron)

Blijkbaar speelt er zich nogal wat af in de hoofden van IT-managers. Op zich ook niet zo vreemd natuurlijk. Met de huidige economische situatie wordt er flink bezuinigd. Ook op het gebied van informatiebeveiliging. Het is eerder pappen en nat houden dan op basis van de onderkende risico’s aan de slag gaan.

Wat misschien nog wel erger is, is dat 30% denkt dat ze 100% beveiligd zijn. Klinkt toch als onze kop in het zand steken. Geen enkele organisatie is 100% beveiligd. Dat komt omdat we nu eenmaal risico’s lopen. Zeer verschillende risico’s.

Denk alleen maar aan risico’s van natuurlijke aard (storm, hagel, overstroming). De natuur kunnen we nog steeds niet beïnvloeden. Dus lopen we risico’s. Daarnaast hebben we nog de risico’s van meer persoonlijke aard. Daarbij kunnen we dan weer onderscheid maken tussen eigen medewerkers en buitenstaanders, maar ook bewuste en onbewuste fouten. Kleine kans dat we die allemaal onder controle hebben.

Als het inderdaad allemaal zo stressvol is, dan is het een goed idee om toch eens een goede nulmeting uit te voeren. Zo kom je er vanzelf achter waar nog eventueel de blinde vlekken zitten. Het is niet zozeer de vraag of die blinde vlekken er zijn, maar meer waar zich die bevinden. Daarbij kijken we dan weer naar de beveiliging van geautomatiseerde, niet geautomatiseerde data maar natuurlijk ook naar de personele en materiële beveiliging.

Ik moet de organisatie nog tegenkomen die het over de hele linie goed voor elkaar heeft. Dat is natuurlijk niet erg, als we maar niet onze kop in het zand steken en denken dat wij geen risico’s lopen. Vergeet niet: het grootste risico’s is het risico dat we niet onderkend hebben…

Nederland in Top 5 beste IT-security landen

  door

Nederland behoort tot de 5 landen waar IT-security het best geregeld is, maar aan de andere kant herbergen we ook de meeste spammers (Bron).

Niet zo gek natuurlijk dat we de meeste spammers herbergen, onze netwerken zijn zo goed beveiligd dat de spam-netwerken moeilijk uit de lucht gehaald kunnen worden. Fijne gedachte. En blijkt maar weer hoe goed de anti-spam wetgeving die is ingevoerd werkt. Foei, het mag niet, laten we het vooral in de wet vastleggen dan zullen die schobbejakken het wel uit hun hoofd laten.

Ach misschien beroepsdeformatie maar als wij al op de 5de plaats staan dan wil ik niet weten hoe het is met de andere 188 officieel erkende staten in de wereld. Voordat iedereen denkt dat we er wel zijn als we op de 5de plaats staan: pas op voor schijnveiligheid, hoewel we veel doen aan beveiliging doen we lang nog niet altijd de goede dingen.

Ik hoop dat 2010 het jaar wordt waarin we ons af gaan vragen of we compliant willen zijn op het gebied van beveiliging of dat we ook daadwerkelijk “in control” willen zijn. Ja, lees de zin nog eens, lijkt misschien of er hetzelfde staat, maar compliance aantonen is echt wat anders dan “in control” zijn.

De uitdaging voor 2010? Met minder budget betere beveiliging realiseren en meerwaarde voor de beveiligingsmaatregelen die we nemen aantonen. Een hele uitdaging, maar, mits er goed over na wordt gedacht, zeker niet onrealistisch.

Kortom: van het implementeren van beveiligingsmaatregelen naar het afdekken van risico’s. Een goed voornemen voor 2010 lijkt me.