Bijna driekwart van de Europese bedrijven heeft er weinig vertrouwen in dat ze alle computersystemen en gegevens kunnen herstellen na netwerkproblemen. Dat blijkt uit onderzoek van IT-aanbieder EMC. Het Europese bedrijfsleven lijkt dus niet goed voorbereid op een IT-ramp, terwijl 54 procent van de ondervraagde bedrijven toegeeft de afgelopen twaalf maanden gegevens te zijn kwijtgeraakt of te maken heeft gehad met niet-werkende systemen (bron).
Ik weet niet of het jullie de laatste weken ook is opgevallen, maar er lijkt toch meer en meer informatie te komen over de status van informatiebeveiliging. Meer en meer incidenten worden onder de aandacht gebracht en meer en meer onderzoeken worden openbaar gemaakt.
De strekking van de nieuwsberichten is veelal hetzelfde: het is niet goed geregeld met de informatiebeveiliging.
De komende maanden en jaren staan ons dus nog veel, heel veel, incidenten te wachten. Meer bedrijven zullen erachter komen dat ze niet meer om informatiebeveiliging heen kunnen. We gaan meer in de gaten krijgen waar we het nu eigenlijk allemaal voor doen…en dat is en blijft de continuïteit van onze dienstverlening of productie.
Uiteraard vind ik het goede signalen, want insiders weten al jaren hoe het gesteld is met de status van informatiebeveiliging binnen ondernemingen. Maar ook hierbij wil ik weer graag de waarschuwing plaatsen dat we niet in de val moeten trappen.
We moeten niet in blinde paniek besluiten dure technische maatregelen te implementeren. Nee, we moeten rust behouden en goed kijken naar wat nu eigenlijk ons primaire proces is. Waar verdienen we als organisatie ons geld mee? Zodra we dat inzichtelijk hebben, kunnen we ook kijken naar de ondersteunende middelen die we nodig hebben om die processen goed te laten draaien.
De ondersteunende middelen bestaan inderdaad veelal uit informatie, maar bedenk dat we dan nog wel onderscheid moeten maken in de digitale en de analoge informatie. Bedenk ook dat we naast de informatie nog over andere ondersteunende middelen moeten kunnen beschikken. Zo zijn er onze medewerkers die een belangrijke rol spelen, maar natuurlijk ook onze “assets” (denk aan: de gebouwen, de hardware, productiestraten en ga zo maar door).
Voordat we dus grijpen naar de maatregelen gaan we eerst een top-down benadering invoeren. We nemen even afstand van onze organisatie en de dagelijkse gang van zaken en gaan eens goed bekijken wat nu echt belangrijk is voor onze organisatie. Grote kans dat we tot de conclusie komen dat we de afgelopen jaren wel veel hebben gedaan aan informatiebeveiliging, maar niet altijd de goede dingen.
Er is een gevoel van schijnveiligheid ontstaan en als we niet oppassen worden we binnenkort zelf ook verrast door incidenten. We halen het (slechte) nieuws en ons imago loopt een enorme deuk op.
Ik kan er niet genoeg op wijzen: beveiliging is niet het doel maar een ondersteunend middel om een hoger liggend doel te bereiken. Wat mij betreft is dat hoger liggende doel de continuïteit van onze organisaties. we moeten dan ook onze oogkleppen af doen en vanuit beveiliging de operationele risico’s inzichtelijk maken die die continuïteit kunnen verstoren.
We lijken, vanuit het nieuws, meer en meer ondersteuning te krijgen, het advies is om die ondersteuning ook te gebruiken. Informeer het management, gebruik cases van je concurrenten, haal nieuwsberichten aan. Niet om maar zoveel mogelijk budget te krijgen maar om het bewustzijn bij het topmanagement te stimuleren.
Lukt het ons om de managers op alle lagen te betrekken bij beveiliging en hanteren we ook nog eens een reële aanpak op basis van risicomanagement dan worden we wellicht een volwaardig gesprekspartners van dat management. Als dat lukt is in ieder geval een deel van onze missie geslaagd…waar wachten we nog op?
En natuurlijk weet je me te vinden, mocht ik je er mee kunnen helpen dan is een seintje genoeg en bespreken we snel de aanpak die voor jouw organisatie het best passend is.