Wetenschappers proberen priemgetallen en allerlei encryptiemodellen te ontrafelen, hackers trachten zich voor de lol toegang te verschaffen tot beveiligde netwerken en personeelsleden zoeken een mogelijkheid om bedrijfsinformatie ten eigen bate te gebruiken. Softwareleveranciers komen met producten op de markt die zo lek zijn als een mandje. Informatiebeveiliging is een absolute noodzaak.
En naarmate meer netwerken aan elkaar worden gekoppeld via de openbare infrastructuur en meer mensen het een uitdaging vinden om die netwerken te kraken, zal er meer aandacht aan de beveiligingsaspecten worden geschonken.
Zowel degene die ervoor wil doorleren als degene die zich zelf als beveiligingsexpert beschouwt, heeft veel baat bij het boek ‘Informatiebeveiliging onder controle’ van Paul Overbeek, Edo Roos Lindgreen en Marcel Spruit. Overbeek en Roos Lindgreen werken bij KPMG, Spruit aan de TU Delft. Gedrieën hebben ze een boekwerk gepubliceerd dat voor velerlei doeleinden geschikt is. Zelf bevelen zij hun werk van harte aan bij algemeen managers, beveiligingsmanagers, informatiemanagers, IT-managers en IT-auditors. Ook vinden zij het geschikt als studieboek voor een aantal (post)doctorale opleidingen. Tenslotte kunnen mensen die de ambi-module ‘management van informatiebeveiliging’ of een Itil-opleiding volgen, er veel baat bij hebben.
Daarmee is de toon van het werk gezet: het is een echt leer- en overzichtsboek: helder geschreven. En plezierig. Voor zover een leerboek plezierig kan zijn geschreven. Het boek is in drie grote stukken opgedeeld. Het eerste deel behandelt de basisprincipes van informatiebeveiliging. Dat zijn er niet veel, want ze zijn in iets meer dan twintig pagina’s te beschrijven, terwijl het hele boek driehonderd pagina’s dik is. De meeste pagina’s zijn gewijd aan Deel II: de organisatie van de organisatiebeveiliging inclusief standaarden, methoden en technieken voor management en organisatie. Veel aandacht schenken de auteurs aan de menselijke factor, de juridische aspecten, het opzetten en uitvoeren van risicoanalyses, de Code van informatiebeveiliging, certificatie en de rol van de IT-auditor. Het derde en laatste deel gaat in op de technische aspecten van informatiebeveiliging, zoals cryptografie. Als een vreemde eend in de bijt ‘bungelt’ het laatste hoofdstuk over e-commerce aan het derde deel. Het lijkt erop alsof deze tekst er nog snel is bijgeschreven en aangeplakt om het boek een actueel karakter te geven.
Het zal geen bevreemding wekken dat de rol van de IT-auditor breed wordt uitgemeten in het boek. Twee van de drie auteurs verdienen hun brood met het uitvoeren van IT-audits (voorheen edp-auditing). Het hoofdstuk dat over de IT-auditor gaat, is tegelijk het meest ‘menselijke’ en minst abstracte van het hele boek. Hier durven de auteurs zelfs een eigen mening (ja zelfs een grap: voorspellen is moeilijk, vooral als het de toekomst betreft) te berde te brengen. Misschien dat ze dat ook in de andere hoofdstukken wel doen, maar dat weten ze dan voor de lezer goed tussen de regels te verbergen. Meestentijds blijven de schrijvers echte leermeesters: ze streven naar objectiviteit en volledigheid en mijden de verzamelde informatie te interpreteren en van een eigen mening te voorzien. Ze nemen geen standpunt in. Dat is ook nadrukkelijk niet de bedoeling. Het is een leer- en overzichtsboek. Maar daardoor is de tekst niet echt spannend. Er spreekt nauwelijks enige betrokkenheid en engagement bij het onderwerp uit, zo afstandelijk behandelen de auteurs de stof. En dat terwijl zij tot de absolute top van beveiligingsdeskundigen behoren en het boek is gebaseerd op een zeer ruime en gevarieerde onderzoeks- en praktijkervaring. Alles is en blijft ‘onder controle’.
Het is een leerboek en daarom een beetje saai. Niet iets om op je nachtkastje te hebben liggen en er lekker een kwartiertje voor het slapen uit te lezen. Nee: met rechte rug, heldere kop en pen & papier in de aanslag achter het bureau. Zo’n boek is het. En om Maarten Looijen uit zijn voorwoord – met instemming – te citeren: ‘Bent u verantwoordelijk voor informatiebeveiliging of moet u kennis hebben van dit belangrijke onderwerp dan beveel ik dit boek ten zeerste aan.’
Paul Overbeek, Edo Roos Lindgreen, Marcel Spruit. Informatiebeveiliging onder controle, Pearson Education Uitgeverij /Addison Wesley Longman Nederland, ISBN 90-430-02895, Prijs: f 79,95.
