Security, meer dan ICT

Via de media worden we geconfronteerd met incidenten ten aanzien van veiligheid van gegevens, personen of bedrijven. Verbindingen vallen uit, gegevens verdwijnen of zijn niet beschikbaar, bedrijven worden gehackt of een virus infecteert grote instellingen. Van oudsher wordt er gekeken naar ICT afdelingen bij dit soort incidenten. Met name het hoofd ICT of de CIO moet zich verantwoorden. Terecht? Nee!

ICT
ICT is allang geen technisch trucje meer van ongewassen mannen met vettig haar, die nachtenlang achter PC’s verblijven. Kennis is uiteraard binnen een ICT afdeling goed aanwezig en geborgd. De denkfout die vaak gemaakt wordt is om ICT als eiland binnen een organisatie te poneren. Mocht er al een CIO aanwezig zijn, wil dat nog niet zeggen dat deze vertegenwoordigd is in de Board en meebeslist over de strategie van het bedrijf. En dat is niet handig. Bedreigend zelfs. Wil je security binnen een bedrijf beter borgen, dan zul je dit als bedrijf integraal moeten uitvoeren. Niet alleen als ICT afdeling, nee, met iedereen.

Leverancier
Het uitbesteden van security aan een leverancier is risicovol als dit niet op de juiste manier gebeurt. Meestal wordt verzuimd de leverancier mee te laten praten op beslissingsniveau binnen het bedrijf. Men acht de gesprekken op hoog niveau te vertrouwelijk voor de leverancier. Daarmee zet men de leverancier als het ware ook weer op een eiland, hetgeen de veiligheid niet ten goede komt. Bovendien wijst een bedrijf erg graag naar de leverancier als schuldige bij een incident, maar vergeet daarbij dat toch wel degelijk het eigen imago ten gronde gaat.

Veiligheid
Fysieke beveiliging van bedrijven is goed op orde en uitgekristalliseerd. Datacenters bijvoorbeeld kom je zonder grof geweld niet binnen. ICT-beveiliging is ook onderdeel van de bedrijfsveiligheid, hoewel we veel zien dat dit door verschillende afdelingen wordt uitgevoerd. ICT beveiliging is constant in ontwikkeling. Dat moet ook wel, want externe hackers acteren sneller dan bedrijven, die veelal reactief maatregelen moeten nemen en software moeten aanpassen en testen. Bedrijven zijn bezig met ISO 27000x en BIV classificatie, een goede ontwikkeling. De BIV classificatie geeft een goed handvat tot uitbreiding en gaat uit van:

  • Beschikbaarheid: het zekerstellen van informatie en essentiële diensten op de juiste tijd en plaats beschikbaar voor gerechtigde gebruikers;
  • Integriteit: het waarborgen van de correctheid en de volledigheid van informatie, en apparatuur;
  • Vertrouwelijkheid: beschermen van informatie tegen ongeautoriseerde toegang.

Eigenlijk zou het vierde begrip Verantwoordingsplicht toegevoegd moeten worden (een BIVV classificatie): het achteraf kunnen verantwoorden van handelingen ten aanzien van toegangsrechten, gegevens, programmatuur, beveiliging, enzovoort. En dat op elk niveau van het bedrijf.

Personeel
Het grootste risico voor beveiliging ligt op het gebied van het (tijdelijk) personeel. Het personeel is zich vaak niet eens bewust van de gevaren. Richtlijnen van Security Management worden vaak als lastig en overdreven ervaren, het is immers toch al druk genoeg om je daarmee bezig te houden. Er wordt geen eigen verantwoordelijk gevoeld ten aan zien van beveiliging, daar let de ICT afdeling of de Security Manager immers wel op. Ten aanzien van wachtwoordensterkte, actieve accounts van mensen die ziek zijn of uit dienst, encryptie, mailforwarding, screening, en de gevaren van Het Nieuwe Werken, met allerlei externe locaties, verbindingen en opslagmedia is al erg veel geschreven. Toch wordt er nog net zo veel laks mee omgesprongen.

Conclusie
Het simpelweg neerleggen van securityproblemen bij de CIO, zonder verdere corporate managementaandacht, is te kort door de bocht. Security is de verantwoordelijkheid van het hele bedrijf; fysiek, technisch én moreel. ICT kan goed faciliteren ten aanzien van technische aspecten en maatregelen rondom Security en moet er voor waken bij de tijd te blijven.

Het zou een goede zaak zijn als bedrijven een GAP analyse zouden maken en maatregelen zouden formuleren ten aanzien van de beveiligingsrisico’s die ze lopen. Een externe partij zou hier een goed onafhankelijk advies over kunnen geven.

Maar alle analyses en maatregelen ten spijt, op het gebied van menselijk gedrag zou een maatregel vandaag al kunnen ingaan. Het starten van het bewustwordingsproces onder het personeel. Security is een zaak van iedereen, met elkaar. Van proceseigenaar naar medewerker. Ook al ben je druk met je dagelijkse bezigheden, het veiligheidsaspect kun je niet uit het oog verliezen.

 
Gepubliceerd op managementsite.nl