Tag: maatregelen

Miljoenenbrand om ‘dagje vrij’

  door

Een 24-jarige dokwerker wilde zo graag naar huis dat hij de kernonderzeeër waar hij aan werkte in brand heeft gestoken. De schade aan de boot is ruim 400 miljoen dollar (bron).

Nu kun je natuurlijk een keer een slechte dag hebben en de balen hebben van je werk. Maar om daarvoor nou een onderzeeër in de brand te steken gaat wel erg ver. Ach, een incident zul je denken en gelukkig lijkt het daar ook op. Toch gebeuren dit soort zaken meer dan we denken alleen is de schadepost dan minder groot.

Het is altijd moeilijk om hard te maken maar: er zullen altijd medewerkers zijn die naar hun werk komen omdat ze nu eenmaal geld moeten verdienen. Werk is niet de uitdaging maar juist een vervelende onderbreking van het weekend. Het merendeel van die ongemotiveerde medewerkers zal gewoon zijn of haar werk doen en stipt om 5 uur de spullen pakken. Maar er lopen er ook tussen die een groot gevaar kunnen vormen voor een bedrijf.

De medewerker heeft al toegang tot allerlei informatie, systemen en andere waardevolle zaken van het bedrijf. Hoe gefrustreerder hij of zij raakt hoe groter het gevaar. En ja, dat gevaar heb je waarschijnlijk niet zien aankomen. Misschien is deze medewerker wel netjes gescreend toen hij binnen kwam, maar hoeveel jaar geleden was dat? En betekent een screening niet alleen maar dat men nooit ergens voor gepakt is? Het geeft geen absolute zekerheid dat iemand niets op zijn kerfstok heeft.

De signalen van je medewerkers moet je dus goed in de gaten houden en dat is als security manager een moeilijke zaak. Je kent immers niet alle medewerkers persoonlijk en hebt al helemaal geen zeggenschap over ze. Je zult dus een goede verstandhouding moeten hebben met de middenmanagers binnen jouw bedrijf en je moet ervoor zorgen dat zij je informeren als ze afwijkende signalen opvangen.

En dan nog blijft het een moeilijke zaak want dit soort incidenten kondigen zich meestal niet van te voren aan. Zeker in tijden waarin er flink gereorganiseerd wordt binnen organisaties neemt het risico van gefrustreerde medewerkers sterk toe. Er wordt bezuinigd en de medewerkers zien hun jaarlijkse loonsverhoging verdampen en op een bonus hoeven ze wat jou betreft al helemaal niet te rekenen.

Aan deze kant van het verhaal zitten natuurlijk 2 zijden. Vanuit de organisatie vind je het niet meer dan logisch dat je geen loonsverhogingen geeft in moeilijke tijden, dat is immers geen recht dat de medewerker verworven heeft. De medewerker denkt daar heel anders over en heeft ieder jaar nog een loonsverhoging ontvangen dus men vindt dat ze er recht op hebben. Twee kanten van de medaille, zullen we maar zeggen.

Dit mag misschien allemaal niet zo belangrijk lijken maar toch moet je de medewerkers niet onderschatten. Hoe meer er intern bezuinigd en gereorganiseerd wordt hoe groter de kans dat medewerkers gefrustreerd raken en als dat vuurtje zich aanwakkert dan kan het zomaar zo zijn dat jouw bedrijf ook in de (virtuele) brand staat.

Hou je oren en ogen goed open en kijk hoe tevreden of gefrustreerd de medewerkers zijn. Misschien moet je het hoger management waarschuwen en na gaan denken over aanvullende beveiligings- en managementmaatregelen om de risico’s beheersbaar te houden.

Onweer is miljoenenstrop voor bedrijfsleven

  door

Onweer kost het bedrijfsleven elk jaar meer, omdat het aantal bliksemdagen blijft stijgen. Productieverlies als gevolg van het lamleggen van computergestuurde machines zorgt bijvoorbeeld voor aanzienlijke schade. Bliksem veroorzaakt inmiddels zo’n 35 miljoen euro schade per jaar, waarvan meestal maar de helft verzekerd is. De totale schadeomvang als gevolg van onweer nam over de afgelopen vijf jaar met bijna 40% toe.(Bron)

Hadden we het gisteren nog over het creatief onderkennen van de risico’s en gingen we daar redelijk ver mee? Vandaag een bijna alledaags risico waar we toch nog te weinig bij stil staan. Iets simpels als een blikseminslag zorgt voor een schadepost van 35 miljoen.

En als je in je risicoanalyse altijd al uitging van de kans op blikseminslagen dan moeten we de kans misschien wat gaan ophogen. De afgelopen jaren nam de totale schadeomvang met 40% toe. Onduidelijk is of dat dit ook daadwerkelijk komt door een toename van 40% in blikseminslagen.

Misschien komt de toename wel omdat we zijn gaan bezuinigen op maatregelen om de schade van blikseminslag te verlagen (bliksemgeleiders). Of misschien zijn we de afgelopen jaren allemaal meer en meer afhankelijk geworden van computergestuurde bedrijfsprocessen.

Natuurlijk hadden we vroeger ook al het risico op blikseminslag. Maar als je geen computers in je “lokale kruidenierswinkel” had staan dan was er weinig aan de hand. Misschien een stop doorgeslagen, maar daar bleef het dan ook bij (tenzij je hele gebouw af was gebrand natuurlijk, maar dan was je sowieso “out-of-business”).

Als je Google Earth hebt geïnstalleerd kun je daarop de actuele blikseminslagen zien of je kijkt op de Global Lightning Image van de Nasa om een wereldwijd overzicht te krijgen.

Het is in ieder geval een risico dat we standaard op moeten nemen op onze lijst voor risicoanalyse en of de inschatting uit het verleden dan wat opgehoogd moet worden laat ik aan jou over.

Zo heeft een audit natuurlijk geen zin…

  door

De titel triggerde mij om het blog van Roger A. Grimes te lezen, zoals dat op Computerwereld gepubliceerd werd.

Maar ook de inleiding van het blog gaf voldoende aanleiding om door te lezen:
Om de beveiliging van het bedrijfsnetwerk te verhogen, richten sommige IT-beveiligers zich op één aspect en vergeten ze de rest. Toch is dat meer dan de meeste organisaties doen (bron). Een eenvoudige zin, maar lees hem nog eens en laat hem op je inwerken.

Nu ga ik hier natuurlijk niet het hele blog herschrijven, want ik raad je gewoon aan dat blog ook eens te lezen, maar ik voel me wel zo vrij om daarop door te borduren.

Heel herkenbaar zoals het geschreven wordt. Er worden allerlei adviezen gegeven en toch lijkt het maar niet te lukken om de beveiliging ook echt op orde te krijgen. Niet door een top-down benadering maar ook niet door een bottom-up benadering. Sterker nog, hoe uitgebreider jouw advies, hoe kleiner de kans dat het opgevolgd wordt. Men ziet letterlijk door de bomen het bos niet meer en als men al komt tot prioritering dan is de kans groot dat na twee of drie maatregelen de managers hun interesse hebben verloren.

Toevallig (toeval bestaat niet, maar toch) had ik hier kort geleden nog een interessant gesprek over bij een opdrachtgever. We hameren er vanuit onze visie op dat we niet moeten redeneren vanuit beveiligingsmaatregelen maar juist vanuit operationele risico’s (en het liefst nog vanuit “enterprise risks”).

Dat is nog steeds helemaal waar, maar het grote gat zit hem in het feit dat organisaties vergeten de combinatie te maken. Ofwel ze redeneren vanuit operationele risico’s en het lukt maar niet om daar de juiste maatregelen bij te treffen. Of ze redeneren steeds vanuit beveiligingsmaatregelen zonder die te koppelen aan de operationele risico’s.

Wat hier nu zo interessant aan is, zul je je afvragen. Nou, het was voor mij weer eens een bevestiging dat we ons verhaal en ons advies af moeten stemmen op onze doelgroep. Dat proberen we natuurlijk altijd, maar het is goed om daar weer eens aan herinnert te worden. We moeten er dus voor zorgen dat we de managers informeren over operationele risico’s maar we moeten er ook voor zorgen dat we degene die het uit moeten voeren (functioneel beheerders bijvoorbeeld) concreet aan de slag laten gaan met maatregelen.

Zij hoeven niet het denk werk te doen over het “wat”, nee, dat moeten wij voor ze doen. Laat hun aan de slag gaan met het “hoe” en we zijn “on speaking terms” Houden we dan ook nog in de gaten dat het advies geen 100 pagina’s dik mag zijn, dan zijn we weer een stukje verder. Wij weten dan misschien wat ze de komende 3 tot 7 jaar allemaal moeten doen om “in control” te raken, maar dat wil nog niet zeggen dat we ze al die informatie in een keer moeten geven.

We kunnen natuurlijk de schuld leggen bij de organisatie, want beveiliging is nu eenmaal een lijnverantwoordelijkheid, toch? Maar laten we de schuld eerst bij onszelf zoeken. Blijkbaar managen we vanuit security de boel nog niet goed. En dat is een constatering die ikzelf meermalen heb gedaan. We zijn wel druk bezig maar doen we ook de juiste dingen en doen we de dingen juist op basis van een meerjaren plan?

Lukt het ons om draagvlak te creëren bij het management? Rapporteren we met de juiste informatie aan het juiste niveau? Hebben wij de prioriteiten gesteld zodat de uitvoerders daar niet mee lastig worden gevallen en gewoon aan de slag kunnen? Communiceren wij met de juiste bewoording naar de personen? Het zijn zomaar een aantal vragen die we onszelf kunnen stellen.

“Zo heeft een audit natuurlijk geen zin…” kan ik alleen maar onderschrijven. Voordat we aan die audit beginnen moeten we het toch op de juiste manier gaan managen. We eten de olifant toch ook niet in een keer op? Waarom proberen we dat met die kudde olifanten, die we gemakshalve security zullen noemen, dan wel?

Nou, nog een mooie metafoor dan uit het blog:
Je vindt beveiliging prioriteit hebben, maar je acties geven anders te kennen. Je bent net zoals die kerel die, met zijn goede voornemens in gedachten, in januari een jaarabonnement bij de sportschool neemt en in maart stopt.

Ach, security, het is allemaal niet zo ingewikkeld, als we het maar op de juiste wijze managen en ook daadwerkelijk beginnen met de eerste stappen te zetten. De marathon wordt een stuk makkelijker als we niet nadenken hoever de finish wel niet is maar gewoon beginnen met rennen (althans, dat is me verteld, ik heb nog nooit een marathon gelopen…die finish is me echt te ver en ik begin liever die kudde olifanten op te peuzelen). En vergeet niet dat er genoeg mensen zijn die starten met de marathon om nooit de finish te halen.

Is dat erg? Nou, in ieder geval kunnen ze zeggen dat ze er aan zijn begonnen…en veel bedrijven kunnen dat op dit moment nog niet met droge ogen beweren.

Het Nieuwe Werken bedreigt beveiliging

  door

Het midden- en kleinbedrijf heeft een blinde vlek voor de risico’s die moderne ontwikkelingen zoals het Nieuwe Werken met zich meebrengen. Informatie ligt vaak onbewust te grabbel, computernetwerken worden vanuit onverdachte hoek bedreigd en de sociale controle op wie het bedrijf binnenkomt kalft af (bron).

Voordat we nieuwe ontwikkelingen in de weg willen gaan staan (omdat ze nu eenmaal niet veilig zijn), moeten we eerst kijken over welke risico’s we het hebben. Welke nieuwe risico’s brengt het nieuwe werken eigenlijk allemaal met zich mee en hoe erg is dat dan voor onze organisatie?

Natuurlijk heeft een nieuwe ontwikkeling ook nieuwe risico’s. Dat is logisch en ook helemaal niet erg. Hoewel er natuurlijk nog genoeg beveiligers zijn die nieuwe ontwikkelingen liever zien gaan dan komen, zijn we hiermee aangekomen bij de verdere volwassenheid van beveiliging (althans, als het aan mij ligt).

We moeten niet langer redeneren vanuit allerlei beveiligingsmaatregelen, zoals we nog te vaak doen, maar we moeten uitgaan van de risico’s. Als we die eenmaal in kaart hebben kunnen we ook kijken hoe groot de kans en de impact zijn voor onze organisatie. Daarna kunnen we kijken wat we er aan willen doen om deze risico’s te beperken. Zo zien we maar dat nieuwe ontwikkelingen ook kunnen leiden tot een nieuwe aanpak van beveiliging. Niet de makkelijkste weg maar wel een heel uitdagende weg.

Lezen we het originele bericht dan kunnen we in ieder geval al aan ons risico-lijstje toevoegen:

  • Informatie ligt vaak onbewust te grabbel
  • Computernetwerken worden vanuit onverdachte hoek bedreigd
  • De sociale controle op wie het bedrijf binnenkomt kalft af

  Allemaal leuk en aardig, maar daar kan natuurlijk geen enkele organisatie iets mee. Nee, wat we moeten doen is de oorzaken achterhalen. Lukt ons dat, dan kunnen we ook gericht maatregelen nemen om die oorzaken weg te nemen.

Daarbij moeten we natuurlijk wel de juiste maatregelen nemen. Stel nu dat we de kans hoog inschatten dan moeten onze maatregelen erop gericht zijn om de kans te verlagen. Is de impact daarentegen hoog dan richten onze maatregelen zich natuurlijk op de verlaging van die impact. Toch? Theoretisch helemaal waar en hogere wiskunde hoef je voor die logica ook niet gestudeerd te hebben.

In de praktijk helaas allemaal wat lastiger. We zien nog te vaak een mismatch tussen de oorzaken en de risico’s aan de ene kant en de maatregelen die we treffen aan de andere. Een pasklaar antwoord heb ik helaas ook niet voor je. Maar door berichten als hierboven te lezen en door logisch na te denken moeten we een heel eind kunnen komen. Wacht daar niet te lang mee want dan heeft een risico zich misschien al gemanifesteerd en kunnen we de zaak op slot doen (letterlijk of figuurlijk).

We kunnen het nieuwe ontwikkelingen blijven noemen, maar inmiddels zijn ze er alweer een poosje. Heb je nog niet aan risico analyse gedaan dan wordt het zo langzamerhand wel een keertje tijd.

Camerabewaking beperkt winkeldiefstal en schade door winkeldiefstal neemt toe

  door

Zelf moest ik toch even glimlachen bij het zien van deze twee berichten die kort na elkaar in het nieuws kwamen:

  • Camerabewaking beperkt schade winkeldiefstal
  • Schade door winkeldiefstal stijgt 5 %

Ze lijken elkaar eerder tegen te spreken dan elkaar te versterken. Maar als we ze in samenhang zien dan wordt er meer duidelijk dan dat we ze als afzonderlijke berichten lezen.

Eerst maar even een korte opsomming van beide berichten:
De totale schade als gevolg van winkelcriminaliteit was vorig jaar 740 miljoen euro. Aan preventie geven winkeliers ieder jaar 290 miljoen uit. In totaal kost winkelcriminaliteit Nederland dus meer dan een miljard euro per jaar…Omdat de directe kosten van winkeldiefstal en fraude blijven stijgen terwijl ook de preventieve uitgaven toenemen, lijkt het alsof de preventieve maatregelen onvoldoende zijn. “Niets is minder waar. De juiste preventieve maatregelen blijken wel degelijk zeer succesvol. Het is alleen zo dat goede preventieve maatregelen in de ene winkel indirect als gevolg heeft dat het probleem zich verplaatst naar ‘de buren’, die zich minder goed beveiligd hebben (bron).

De schade door winkeldiefstallen is vorig jaar met 5 procent gestegen naar 325 miljoen euro volgens Detailhandel Nederland. Ook zijn er meer winkeldieven aangehouden door de politie. In 2008 waren dat er nog 30.000, een jaar later 31.000. Winkeliers worden niet alleen geconfronteerd met winkeldiefstallen maar ook met interne fraudes, inbraken, vernielingen, overvallen en ramkraken. De totale schade als gevolg van winkelcriminaliteit was in 2009 € 740 miljoen (bron).

We hebben allemaal de mond vol van de zogenaamde kosten-baten analyses en de terugverdien tijd van beveiligingsmaatregelen. Iedere maatregel moet zichzelf zo snel mogelijk terugverdienen en de kosten mogen niet hoger zijn dan de baten. Maar in dit geval is de kosten-baten verhouding nogal scheef, tenminste als je het mij vraagt.

We geven € 290 miljoen uit aan maatregelen terwijl de totale schade € 740 miljoen is. Dat zegt wat mij betreft dat we nog zo’n € 500 miljoen extra uit kunnen geven voordat we mogen stellen dat beveiliging niet werkt. Of is dit nu wat we noemen het geaccepteerde risico? In dat geval moeten we niet klagen en gewoon accepteren dat er zoveel schade ontstaat.

Theoretisch klopt het bovenstaande natuurlijk (en als jij vindt van niet dan hoor ik dat graag), maar waar het mank op gaat is dat we het moeten concretiseren naar de afzonderlijke winkels. In het originele bericht wordt dat duidelijk. Hoe beter we onze eigen winkel beveiligen, hoe meer last de buren ervan krijgen (het gras is daar dus niet groener, maar juist enorm dor). Kunnen we dan eigenlijk stellen dat het heel asociaal is als je je winkel goed beveiligd? Nee, natuurlijk niet, die andere winkeliers moeten er juist meer aan uit geven.

Kortom: er zijn winkel(keten)s die beveiliging goed op het netvlies hebben en die waarschijnlijk niet zoveel extra meer hoeven te doen aan beveiliging, nee het gaat juist om die winkeliers die nog te weinig doen aan beveiliging. Juist zij zouden het grootste deel van die € 500 miljoen uit moeten gaan geven. Maar ik geef het ze te doen, als kleine winkel heb je al moeite genoeg om je hoofd boven water te houden. Je zit helemaal niet te wachten op investeringen, daar kijken we wel weer eens naar als we de economische crisis achter ons hebben gelaten. En, ach, ik kan ze geen ongelijk geven: of je gaat failliet omdat je investeringen in beveiligingsmaatregelen te hoog waren, of je blijft voortbestaan en accepteert dat er af en toe iets gestolen wordt.

Misschien een goed idee voor de lokale overheid. We hebben inmiddels lokauto’s en lokhoeren ingezet om overtreders te betrappen. Moeten we geen lokwinkels in gaan zetten om de crimineeltjes te lokken naar de slechtst beveiligde winkel in de buurt? Ehm, iets om over na te denken.

Bedrijven overgeleverd aan cybercriminelen

  door

Bedrijven en security professionals zijn overgeleverd aan cybercriminelen, die altijd een stap voor lopen en daardoor een groot risico voor ondernemingen vormen…Inmiddels zou cybercrime de grootste cyberdreiging zijn en weten cybercriminelen die bedrijfsnetwerken infiltreren langer onopgemerkt te blijven. Veel bedrijven negeren echter deze dreiging en geven geld uit aan het bestrijden van “mindere” dreigingen. Deloitte spreekt van een ernstig gebrek aan bewustzijn, maar ook van zelfgenoegzaamheid als het om dit onderwerp gaat. Zowel automatiseringsafdelingen als security officers zouden tekort schieten.

Daarbij staat het uitgeven van grote sommen geld niet gelijk aan beveiliging. Wie meer uitgeeft hoeft niet per definitie veiliger te zijn. “We zien veel organisaties middelen voor technologische beveiligingsmaatregelen uittrekken, terwijl eenvoudige, goedkope maatregelen zoals patchmanagement, log analyse, verminderen van rechten, wachtwoorden laten verlopen en het opheffen van de toegang van ex-werknemers worden genegeerd.” (bron)

Zo zie je maar dat meer uitgeven aan beveiliging niet betekent dat je ook echt beter beveiligd bent. Ik kan het alleen maar eens zijn met wat hierboven is aangegeven. Het gaat er niet om dat je zoveel mogelijk besteed, het gaat erom dat je de middelen zo slim mogelijk besteedt (en geloof me, dat is makkelijker gezegd dan gedaan). Oh ja, middelen betekent meer dan geld maar ook kennis, beschikbare tijd, etc.

Bij beveiliging gaat het er in de praktijk nog te vaak om om beveiligingmaatregelen te implementeren…waar het echt om gaat is risico’s afdekken (bijvoorbeeld door ze te mitigeren, over te dragen aan anderen of ze gewoon te accepteren) waarbij we rekening moeten houden met het belang van de bedrijfsprocessen (laten we eerst de risico’s voor de belangrijkste processen beheersen). Maatregelen zijn niet alleen de technische maatregelen maar juist een combinatie van technische, organisatorische, procedurele, bouwkundige en elektronische maatregelen en dan het liefst in samenhang bezien.