Top 5 misverstanden over beveiliging

 

 

 

Ik kom IT-managers tegen die zeggen: “Ik kan het managementteam er niet van overtuigen dat we moeten investeren in beveiliging.” Ik kom ook business managers tegen die zeggen: “Beveiliging, daar hebben we een IT-manager voor.” Zo dreigt het onderwerp beveiliging tussen wal en schip te raken, terwijl beveiliging voor veel mensen in de organisatie juist wel belangrijk is. Het kan niet worden afgeschoven op de IT-manager. Regelgeving op het gebied van privacy en financiën maakt ‘security' wel degelijk relevant voor het managementteam.

 

Het besef dat beveiliging voor velen belangrijk is, wordt meestal pas echt gevoeld nadat er iets mis is gegaan. Dan blijkt de hele organisatie daaronder te leiden. Het beste wat een IT-manager dan ook kan doen om beveiliging op de agenda te krijgen, is een scenario schetsen. Stel dat onze systemen uitvallen? Of we raken een laptop met gevoelige informatie kwijt? Wat dan? Wat heeft dat voor gevolgen voor de organisatie - juridisch, financieel?

 

Beveiliging heeft absoluut technische aspecten, maar wat is nou het meest spraakmakende beveiligingsnieuws van de laatste jaren? Een officier van Justitie die zijn computer aan de kant van de straat zet. Een usb-stick met geheime documenten die wordt achtergelaten in een huurauto. Dat heeft allemaal meer met procedures dan met techniek te maken. Ik kan mijn pc enorm goed beveiligen, maar als iemand er zo mee de deur uit loopt, heb ik toch een probleem.

 

Om het heel formeel te stellen: beveiliging gaat over bescherming van systemen, integriteit van data en vertrouwelijkheid van systemen en data; dus over veel meer dan alleen een firewall of antivirussoftware.

 

Techniek kan wel helpen beveiligingsrisico's te verkleinen. Inventariseer eerst welke gevaren de organisatie loopt en bekijk dan hoe technologie kan worden ingezet om deze op te lossen. Pas daarna worden onderwerpen als encryptie, antispyware of information rights management relevant.

 

Ook dan zijn er goede procedures nodig; procedures waarvan alle gebruikers goed op de hoogte moeten zijn. Denk aan regels die bepalen dat de ene medewerker wel bij bepaalde informatie mag, maar de andere niet, of dat er nooit gevoelige informatie op een usb-stick mag staan, of dat dit wel mag, maar alleen met encryptie.

 

Veel mensen denken bij beveiliging meteen aan hackers en virussen. Waarschijnlijk omdat dit sprekende voorbeelden zijn. Maar meerdere onderzoeken hebben aangetoond dat het verlies van data, inbreuk op de privacy en andere beveiligingskwesties, meestal van binnenuit komen, en dat ze worden veroorzaakt door de medewerkers zelf; soms per ongeluk, soms te kwader trouw.

 

Er is onderhand veel kennis over het internet. We weten dat er ontzettend veel mogelijk is op een heel veilige manier. Natuurlijk moeten organisaties zich goed beschermen tegen gevaren, maar laten we niet vergeten dat er via internet vooral leuke en goede dingen gebeuren en dat de slechte dingen eerder uitzondering dan regel zijn.

 

Hoop en wanhoop zijn slechte raadgevers. Steeds maar benadrukken wat er allemaal mis kan gaan, werkt niet. Dat verlamt en maakt het onmogelijk nieuwe initiatieven te ontplooien. Ondoordacht van alles proberen en daarbij de poorten openzetten is natuurlijk ook niet verstandig.

 

Het gaat om de balans tussen de voordelen van nieuwe initiatieven en de mogelijke consequenties. Beveiliging is een punt van aandacht, maar moet niet worden overdreven. Gewoon helder en goed geïnformeerd nadenken en beslissingen nemen.

 

Beveiliging is een wapenwedloop. Wat vandaag veiligheid biedt, kan morgen nutteloos zijn. De ontwikkelingen gaan snel en stoppen nooit; zowel aan de kant van de aanvaller als de verdediger.

 

Beschouw beveiliging als een reis. Wees continu onderweg en blijf alert. Raadpleeg bij twijfel een expert. Na implementatie: controleer. Na controle: plan een volgende controle. En bekijk beveiliging steeds weer vanuit nieuwe invalshoeken.