Tag: schijnveiligheid

Vals gevoel van veiligheid

  door

Er heerst een vals gevoel van veiligheid bij IT-afdelingen. Waar de cybercriminelen de afgelopen jaren sterk zijn geëvolueerd met zeer geavanceerde malware aanvallen, zijn de IT-afdelingen achtergebleven. De gevolgen hiervan kunnen desastreus zijn voor bedrijven die denken dat ze veilig zijn (bron).

Hoewel dit bericht is geplaatst op een website van onze Zuiderburen kunnen we deze constatering wat mij betreft regelrecht doortrekken naar ons Kikkerlandje. Alleen zou ik mezelf niet zijn als ik er niets op aan te vullen had.

Wat mij betreft lopen we er constant tegen aan dat er een verschil is tussen “business security”, “information security” en “IT security” (nog los van het feit dat we dat doen op basis van risico management en voor de bedrijfscontinuïteit). Voor de buitenstaander lijken deze termen wellicht hetzelfde maar er is een groot verschil. Zo zou de IT-afdeling zich vooral zorgen moeten maken om de “IT security” die een afgeleide moet zijn van “information security” dat op zijn beurt weer is afgeleid van “business security”.

Ik pleit nog steeds voor een top-down benadering waarbij de dus beginnen met de “business security”. Willen we die goed in kunnen richten dan moeten we kijken welke missie, visie en strategie onze organisatie heeft. Deze moeten als uitgangspunt genomen worden. Als het goed is hebben we voor de korte, middellange en lange termijn doelstellingen bedacht die bijdragen aan onze missie, visie en strategie, toch? Dit klinkt misschien allemaal wat abstract, maar het een kan niet zonder het ander en als we niet weten welke kant onze “reis” op gaat, waar moeten we dan heen rijden?

Weten we welke uitgangspunten we kunnen hanteren voor onze “business security” dan kunnen we vervolgens kijken welke informatievoorziening daaraan een bijdrage levert en hoe kritisch die informatievoorziening dan is. We noemen het “information security” en dat is wezenlijk anders dan “IT security”. Begrijp me goed, ik schrijf dat het anders is en niet dat het een beter of belangrijker is dan het ander. Nee, sterker nog, de verschillende security benaderingen hebben elkaar maar al te hard nodig.

Goed, laten we het hier proberen kort te houden. Weten we welke informatievoorziening voor ons van belang is, dan kunnen we kijken welke informatie technologie die informatievoorziening mogelijk maakt. Welke hardware, welke applicaties, welke besturingssystemen, welke netwerken zorgen er eigenlijk voor dat we over de informatie kunnen beschikken als we ze nodig hebben (beschikbaarheid), wie heeft er eigenlijk allemaal toegang tot die informatie (exclusiviteit) en hoe juist is die informatie eigenlijk (integriteit)?

De conclusie dat er een vals gevoel van veiligheid heerst bij de IT-afdelingen wil ik nuanceren: er heerst een vals gevoel van “IT security” op IT-afdelingen. Net zoals er, als je het mij vraagt, een vals gevoel van “business security” heerst bij het top management van veel organisaties. En dat is onbegrijpelijk als we de missie, visie, strategie en doelstellingen serieus willen nemen. Een top down benadering op basis van risico management en gericht op bedrijfscontinuïteit lijkt hier toch beter op zijn plaats. Of niet?

Beveiliging bedrijven steeds kwetsbaarder

  door

Het gaat niet goed met de beveiliging in Nederland als ik onderstaand bericht mag geloven.

Ruim tweederde (36 procent) van de Nederlandse medewerkers vindt hun organisatie kwetsbaar op het gebied van beveiliging. Dat is een stijging van vijf procent ten opzichte van vorig jaar…Ook blijkt dat 53 procent van de bedrijven hun beveiligingsbeleid niet afstemt op de beveiligingsrisico’s…Bijna de helft (46 procent) van de werknemers van grote bedrijven (250+ werknemers) vindt de organisatie waarin zij werken kwetsbaar (bron).

Helaas geeft dit bericht geen definitie van wat er onder beveiliging wordt verstaan. Maar kijkend naar degene die dit onderzoek heeft uitgevoerd (Securitas) ga ik er vanuit dat het hier de fysieke beveiliging betreft. Op zich maakt het niet zoveel uit want mijn onderbuikgevoel zegt dat dit net zo goed geldt voor informatiebeveiliging.

De afgelopen jaren is er veel geïnvesteerd in allerlei beveiligingsmaatregelen. Nieuwe sloten op de deur, een nieuwe firewall en je kunt het zo gek niet bedenken. Toch lijkt het er op dat deze aanpak geen enkele meerwaarde heeft. Medewerkers vinden de bedrijven eerder kwetsbaarder geworden dan beter beveiligd.

Nu zitten er natuurlijk altijd twee kanten aan een verhaal. Enerzijds de perceptie van die medewerker en anderzijds de echte status van de beveiliging. Feit is wel dat de medewerker er in ieder geval niet gerust op is.

Dat kan betekenen dat de medewerker zelf meer zicht krijgt op beveiliging, door allerlei nieuwsberichten gaat hij beter om zich heen kijken en ook beter begrijpen wat beveiliging nu eigenlijk is. Maar dat kan ook betekenen, en dat ondersteund het verhaal wat ik wel vaker verteld heb, dat er een berg schijnveiligheid bij de bedrijven leeft.

In de praktijk zie ik allerlei bedrijven druk doende met beveiligingsmaatregelen (hoewel dat met de economische situatie ook minder is dan een paar jaar geleden, maar dat trekt wel weer bij). Te weinig wordt de link gelegd tussen de maatregelen aan de ene kant en de operationele risico’s aan de andere kant. Om het te verduidelijken: we voeren nog wel eens de discussie over een firewall. De organisatie vindt dat ze zo’n ding moeten hebben (want iedereen heeft er toch één?). Er wordt budget vrijgemaakt en de firewall wordt aangeschaft. We zijn veilig, ja schijnveilig maar meer ook niet. Vergeten wordt dat zo’n firewall procedureel beheerd moet worden en dat er iemand voor verantwoordelijk moet worden gesteld. De firewall moeten we onderbrengen in een beveiligde ruimte met een alarmsysteem er op.

Te vaak zien we dat de firewall werkt…ja inderdaad het groene lampje brandt en hij krijgt dus stroom. Te weinig zien we dat de organisatie nu ook echt weet wat die firewall doet, welke risico’s hij afdekt, hoe hij beheerd wordt, welke patches en updates doorgevoerd zijn en ga zo nog maar even door.

We kunnen organisaties alleen minder kwetsbaar maken als we redeneren vanuit de operationele risico’s (en in mijn optiek nog liever vanuit de zogenaamde “enterprise risks” zijnde omzet en kosten). We moeten bezien welke risico’s de bedrijfsprocessen in gevaar kunnen brengen en op basis daarvan kunnen we een set beveiligingsmaatregelen implementeren. Niet een firewall maar een set bestaande uit technische, procedurele, organisatorische, bouwkundige én elektronische maatregelen.

Als ons dat lukt, dan zijn we veiliger geworden en dat is makkelijker gezegd dan gedaan.

Het advies aan alle ondernemingen? Stop per direct met het domweg implementeren van beveiligingsmaatregelen en redeneer vanuit de risico’s om tot de juiste set te komen. Dit zorgt voor een betere beveiliging tegen lagere kosten…en voor degene die dat leuk vindt: ik heb er kort geleden een whitepaper over geschreven, als je geïnteresseerd bent…laat het me weten.