Security is een hot topic in de ict, maar hoort daar eigenlijk niet thuis. Tenminste, niet alleen. Informatie is weliswaar digitaal en dus is de link met ict gauw gelegd. Toch valt de beste ict-beveiliging door mensen te negeren, ofwel niet-kwaadwillend te omzeilen.
"Als ik vraag wat heb je zoal aan beveiliging gedaan, dan krijg ik meestal antwoorden over de firewall, het wachtwoordenbeleid, de antivirusoplossing, enzovoorts. Maar informatiebeveiliging is meer dan technologie. Je moet het breder zien", vertelt Wilbert Pijnenburg, directeur Nederland van bewustwordings- en trainingsbedrijf InfoSecure. Dat Nederlandse bedrijf maakt bewustwordingsprogramma’s voor informatiebeveiliging. Het biedt dus geen producten, maar trainingsprogramma’s voor medewerkers.
Makkelijk wachtwoord
"Wachtwoorden zijn een makkelijk voorbeeld; mensen kiezen vaak toch een makkelijk woord, zoals hun achternaam, of een opvolgnummer bij een basiswachtwoord." Dan denken organisaties en de medewerkers dat ze veilig zijn, maar dat is dus een misvatting. "De technologie valt dan te omzeilen. De reactie is dan vaak ‘meer technologie’, bijvoorbeeld het invoeren van een keycard, wat de zaken nog complexer maakt. Als je mensen bewust maakt van beveiliging, had je die investering niet hoeven doen."
"Vaak wordt er toch eerst aan technologie gedacht, voor de quick wins."Niet dat Pijnenburg tegen technische oplossingen is. "Technologie en bewustzijn gaan samen, hand in hand. Maar vaak zie je toch een spagaat ertussen." Aan uitleg en bewustwording wordt vaak pas gedaan als beveiligingsincidenten niet, of niet meer, bij de technologie lijken te liggen. Maar bij de medewerkers, veelal onwetend.
Mede-verantwoordelijk
"Je moet éérst je procedures op orde hebben. Vaak is er aan het personeel wel verteld dat ze security incidenten moeten melden. Maar als dan niet duidelijk is hoe, en bij wie, en wat een incident is. Vaak is ook niet duidelijk wie die melding gaat opvolgen, en hoe. Wie is verantwoordelijk?"
De belevenis is vaak dat informatiebeveiliging gelijk staat aan ict-security. "Het is echter veel breder. Medewerkers, ook ict’ers, zijn mede-verantwoordelijk. De ict-afdeling moet dus eigenlijk buiten zijn verantwoordelijkheden gaan", pleit Pijnenburg. In de ideale situatie is dit een klus voor de cso, hoofd beveiliging, die dan in een stafafdeling zit. Een externe criticaster dus, net als een auditor. Mogelijk valt deze taak onder de cio, als hoofd informatie (chief information officer), maar in de praktijk is de cio vaak ‘slechts’ hoofd ict.
"Grote organisaties hebben meestal een aparte afdeling hiervoor, bijvoorbeeld risk management of een stafafdeling. Bij kleinere organisaties zie ik ook tussenvormen; iemand met dubbele rapportagelijnen die dan bijvoorbeeld gestationeerd is op de ict-afdeling maar ook verslag uitbrengt aan het management. Dat zijn nogal gekunstelde vormen, die volgens mij niet voor de lange termijn zijn.
Stappenplan
-
Stel beleid en procedures op voor je informatiebeveiliging.
-
Dat is niet alleen een stukje papier! Dus breng structuur aan in je organisatie.
-
Krijg een goed overzicht van je informatie. Waar liggen de bedreigingen en risico’s?
Groot versus klein
"Wij zitten bij grote bedrijven, die hun security al wel op orde hebben", vertelt directeur Nederland Wilbert Pijnenburg van bewustwordings- en trainingsbedrijf InfoSecure. "Denk aan financiële instellingen, de centrale ministeries, farmaceutische bedrijven. We zijn nu ook veel bezig met gemeenten. Die zijn van nature niet zo volwassen qua beveiliging als echt grote organisaties."
Bij kleinere organisaties krijgt de ict-afdeling, of de ict’er, informatiebeveiliging er als taak bij. Soms verplicht, soms uit eigen interesse. Vaak zijn kleinere organisaties dan ook niet zo goed bezig met hun informatiebeveiliging, stelt Pijnenburg. Toch is dat geen wet van Meden en Perzen. "Klein staat niet gelijk aan slecht, of slechter. Er is een ontzettend verschil aan niveau afhankelijk van de organisatie-opzet; vind je dienstverlening het belangrijkste, of dat dat ook veilig moet. Kennisintensieve bedrijven bijvoorbeeld zijn uitzonderingen, die kunnen klein zijn maar heel bewust aan informatiebeveiliging doen."
Ik ben van mening dat het niet alleen gaat om bewustzijn van je medewerkers. Zie eerst maar eens in de boardroom te komen en managers duidelijk te maken dat de medewerkers naar een training moeten voor beveiliging. Het bewustzijn begint dus veel hoger in de organisatie. Dit komt niet naar voren uit het artikel.
Zoals bij alle bedrijfs intiativen is management commitment erg belangrijk. Vergeet niet dat managers eerst denken in termen van kosten en baten. Medewerkers bewust maken van informatie beveiliging behoort tot ontastbaar(intangble)informatiebeveiliging mechanismen. Probeer maar zowel tastbaar als ontastbaar informatiebeveiliging mechanismen volledig te vertalen naar kosten en baten. Dat lukt voor geen cent. Dus hoe overtuig je je managers? Met leugens? Of als er iets fout gaat?