We weten het wel: beveiliging is als een verzekering. Het kost geld en als het goed is, krijg je daar niets voor terug. Want niets is wat je qua beveiligingsincidenten wilt. Aan de andere kant wil en kún je niet alles voor de volle honderd procent verzekeren. Dus maak je inschattingen, van risico, van waarde. En dus van wát je voor hoeveel wilt verzekeren. Erg jammer dat we dat voor beveiliging nog altijd niet goed kunnen. Of niet goed doen.
Neem nou de ov-chipkaart. Die moet natuurlijk niet teveel kosten. Right? Maar sta even stil bij de waarde die zo'n kaartje vertegenwoordigt. En de aantrekkelijkheid van het feit dat het een offline systeem is, dus er is moeilijk te controleren op fraudeerbare zaken als tegoed op die kaart, opstappunt en afgelegde reis.
Nee, het is geen cruciaal systeem voor de veiligheid op straat, of voor privacy-gevoelige gegevens zoals medische informatie. Maar het is wél een aantrekkelijke buit. En dus is er gekraakt. En wordt er nu achtereenvolgens over gesust, gepraat, gediscussieerd, heroverwogen, herzien en opgelapt. Dit alles betekent dus bijgelapt. Niet alleen in technische zin maar ook en vooral in financiële zin.
Want wat kost beveiliging nou eigenlijk? Het kan heel duur zijn. Maar een ‘incident' kan nog veel duurder zijn. Nee, dit is geen promopraat in naam van ict-leveranciers. Nogmaals: je wilt en kunt niet alles volledig beveiligen. Je moet wel waardevolle of cruciale zaken vantevoren meenemen in een goed plan dat dus ook beveiliging omvat. Niet doen leidt tot bijlappen achteraf. En dat pakt bij elkaar opgeteld vaak vele malen duurder uit!
Bedenk dus vooraf wat de benodigde beveiliging is voor een applicatie, project of klus. Bovendien kun je dan als ict-afdeling meesturen, randvoorwaarden stellen en daarmee faciliterend bezig zijn. In plaats van achteraf de gebeten hond zijn, en de puinruimer. Of op de valreep van projectoplevering de spaak in het wiel zijn, die dan waarschijnlijk ook het puin mag proberen te ruimen. Kortom: denk vooruit. Juist vanwege de kosten.
