Het veiligste is een totaal afgesloten – of uitgeschakelde – computer. Nuttig is dat echter niet. Security en nut lijken haaks op elkaar te staan. De NS beveiligt ict met het oog op gebruik.
De Nederlandse Spoorwegen (NS) is een organisatie die beveiliging in een breder kader plaatst. Het gaat niet om beveiligd zijn, maar om veilig je business doen. "Onze cio zei ooit over een ict-project: ik heb een huis gekocht met dichtgemetselde ramen, daar heb ik niks aan", zegt Rien Dijkstra, it-architect informatiemanagement & technologie bij de NS.
Budget voor krijgen
Je beveiliging potdicht hebben, staat soms haaks op wat de organisatie wil. Als ict'er moet je daar de balans in vinden én daar de middelen voor zien te krijgen." Die eerste taak is niet eenvoudig, maar de tweede kan nog lastiger zijn. "Security was tot voor kort erg gedreven door technologie, het is moeilijk daar budget voor te krijgen."
Dijkstra verwijst hiermee niet alleen naar het communicatiegat tussen ict'er en manager. Hij praat ook over de verschillende werelden van enerzijds technologische producten en anderzijds de bedrijfsactiviteit. Dat overbruggen en beveiliging goed op orde krijgen is niet makkelijk. "Je wilt water de andere kant op laten stromen."
Alles op slot zetten, levert de onderneming namelijk alleen maar hinder op. "Security is ook steeds moeilijker doordat de organisatie steeds meer open moet zijn, bijvoorbeeld voor partners en toeleveranciers, maar ook voor klanten." De ict'er werkt niet meer aan het oude beveiligingsmodel van het kasteel wat beveiligd is tegen de boze buitenwereld. Een fort met een duidelijke en controleerbare voordeur.
In het weekend verlaten
Dijkstra vertelt op het Computable-dagseminar Security hoe de NS werkt aan ict-beveiliging. "Je moet beveiliging koppelen aan de risico's. Beveiliging an sich is géén beveiliging. Denk bijvoorbeeld aan een stevige bankkluis die op slot zit, maar in een gebouw dat in het weekend totaal verlaten is." Dan kan een kraker rustig die paar dagen zijn gang gaan. "Je hebt dus ook monitoring nodig. Daarmee kun je gelijk ook compliant zijn", stipt Dijkstra aan.
De it-architect van de NS benadrukt dat je met compliancy écht veilig kunt zijn. "In plaats van dat je technologische schijnzekerheid hebt." Het hebben van beveiligingsproducten garandeert geen goede beveiliging. Door security in te richten naar risico's en bedrijfsbelang kom je veel verder, argumenteert Dijkstra. "En je kunt dan ook op elk moment zelf een audit uitvoeren." Dus niet dénken dat je beveiligd bent, maar meten.
Op Computable-seminar Security
Horen hoe je security realiseert in een moderne, open organisatie? Vragen hoe dit op jouw situatie valt te betrekken? It-architect informatiemanagement & technologie Rien Dijkstra van de NS spreekt op het Computable-dagseminar over Security. Dit vind op 25 september plaats in Amsterdam. Zie voor meer informatie en online-aanmelding de seminar-pagina..
Wat is er mis aan deze “defensieve security” instelling?
Alles afsluiten, totdat de gehele organisatie (directie, managers en techneuten) op EEN lijn zit wie, wanneer, waarom, om welke reden toegang mag hebben tot company resources??
Dit geeft de PnO afdeling meteen een leuke reden om de scoop van de functieprofielen eens tegen het licht te houden, zodat iedern doet wat ie kan,mag doen en niet meer, maar ook niet minder.
De meeste hacks geschieden van binnen uit een organisatie, niet van buiten af 😉
Security.. een must voor de hedendaagse onderneming, zeker als je met je company netwerk aan het internet hangt. Jammer dat er zelden verder gekeken word dan de ict afdeling en budget.
“Security is not found in tools or organisation-models”
“Security is a state-of-mind of real people”
Security is niet te beschrijven in een artikel en zoals meneer Dijkstra al aangeeft, is een risico analyse onmisbaar. Wat meestal vergeten wordt of als minder belangrijk wordt gezien, is het personeel inlichten over eventuele risico’s (Security Awareness). Zoals de heer Vermeij ook aangeeft, lopen bedrijven het meeste gevaar van binnen uit. Dit kan bewust gebeuren, maar vaak vindt dit onbewust plaats.
Wat een onzin. Alsof je compliance per kilo kan kopen. Compliance is hooguit een resultaat, en dan nog het verkeerde want gericht op penny-wise and poundfoolish mieren..regeltjes afvinken. Bovendien ben je met monitoren per definitie altijd te laat. Oh wacht… NS …
Dit hele artikel is een verhaaltje over aardappels met peren vergelijken. Bedroevend niveau.
Wat er mis is met alle deuren dicht doen tot iedereen in de organisatie op 1 lijn zit?
Dan gaat de organisatie failliet. Dat is er mis mee.
Hoe belangrijk security ook is, het geld wordt verdiend met het primaire proces (grof gezegd: met inkoop, produktie en verkoop).
In veel organisaties belemmert de huidige security de uitvoering van het primaire proces.
Zonder primair proces is er zeker geen organisatie. Zonder security is er een kans op geen organisatie.
Wat kies je dan als directie?
@Amber:
“het geld wordt verdiend met het primaire proces (grof gezegd: met inkoop, produktie en verkoop).”
Kijk das nu typisch zo’n financiele, sales of management opmerking:
– zolang IK mijn eigen kunstje maar kan blijven doen,
– zolang IK mijn eigen straatje kan blijven schoonwegen, – zolang IK mijn targets maar haal,
interesseert mijn de rest van mijn bedrijf mee geen…
En als je dan genoeg vriendjes hogerop in de “organisational tree” hebt zitten met een zelfde atitude kom je er nog mee weg ook!
Hierdoor ontstaan er allerhande machtsspelletjes en automatiserings-eilandjes. En wie word er weer geacht het rotte organisatorische bedrijfs fundament aan elkaar te knopen.. Juist .. de ict afdeling.
Ik heb oprecht medeleven met die werknemers in zon bedrijf, en ik heb zelf vaak genoeg in dat soort toko’s mogen werken waar ict gebruikt werd als “company lijm” om niet samenwerkende afdelingen toch aan elkaar geknoopt te krijgen en houden.
“In veel organisaties belemmert de huidige security de uitvoering van het primaire proces.”
In een GOED ONTWORPEN bedrijf (maar ja waar vind je dat nog) beseft het management zich, dat je anno 2008, niet meer zonder ict kunt draaien 😉
Op het moment dat “de security je in de weg zit”, zit er dus iets structureels fout in het “verkeerd – geautomatiseerde – machts – eilandjes – organisatiemodel” van je bedrijf.
Maar… dat willen de meeste leidinggevende niet toegeven, het is altijd makkelijker om het af te schuiven op de ict afdeling.
“Wat kies je dan als directie?”
Eieren voor je geld hoop ik, voordat je ict afdeling wegloopt of solliciteert omdat ze niet langer in staat zijn om dit circus dag in dag uit draaiende te houden 😉
Het ware primaire proces zou – in mijn ogen – de ict afdeling moeten zijn van ieder bedrijf. Dit DRAAGT immers de gehele enterprise qua informatie voorziening.
En als die info-flow stagneert, werken de mensen in je bedrijf ook niet samen, gaan ook je bedrijfs resultaten omlaag.. maar das mijn visie
@RVermeij Uit uw reactie maak ik op dat dit u betrokken bent bij het onderwerp. Dat siert u. Uw reactie bevat naar mijn mening echter verschillende vormen van incorrect discussieren. Om die reden blijf ik bij mijn eerste reactie. Ik zal proberen dit uit te leggen aan de hand van 1 van mijn argumenten.
In mijn reactie noemde ik een inhoudelijke argument, ‘het geld wordt verdiend met het primaire proces’. Dat leek mij een open deur, maar kennelijk is het dat voor u niet. Dat kan.
Hierop reageert u met een poging om mijn achtergrond er bij te betrekken, financieel, sales of marketing. Dit is alledrie mis geschoten, maar bovenal behoort de achtergrond van een deelnemer er in een inhoudelijke discussie niet toe te doen. Deze drogreden is van het type ad hominem.
Verder voegt u aan mijn woorden andere argumenten toe door te stellen dat het alleen om het “IK” zou gaan en dat de rest van mijn bedrijf me geen … interesseert. Dit is door mij niet gezegd en ook niet waar. Gezien de wijze waarop u hierover schrijft, lijkt het alsof ik dit wel hebt gesteld en lijkt u een punt te kunnen scoren. Dit wordt de drogreden van de stroman genoemd.
Hierop vervolgt u met te stellen dat u een oprecht medeleven heeft met medewerkers en dat u in heel veel organisaties heeft gewerkt.
Hiermee geeft u uw eigen betrokkenheid en autoriteit alsof zij argumenten zijn tegen mijn stelling. Tevens wekt deze alinea de suggestie dat uw tegenstander op deze eigenschappen minder is dan u.
Uw persoonlijke eigenschappen, hoe prijzenswaardig ook, zijn echter geen inhoudelijke argumenten en tellen dus niet mee.
Het argument blijft dus staan:
“Het geld wordt verdiend met het primaire proces”.
Voor de duidelijkheid wil ik hier graag aan toe voegen dat het gaat om geld van de gehele organisatie gaat en niet om een afzonderlijk budget of salaris.
Ik hoop dat u om te beginnen dit argument inhoudelijk wilt weerleggen. De rest van uw betoog wankelt mijns inziens ook, maar om het leesbaar te houden houd ik het nu even kort.
Voor een introductie argumentatieleer en drogredenen, verwijs ik iedereen graag naar Wikipedia. Zelf Aristoteles lezen mag natuurlijk ook, of Schopenhauer, maar die heeft zijn werk hierover helaas niet afgemaakt.
Tot mijn argumenten met inhoudelijke argumentatie zijn weerlegd, blijft mijn betoog staan. Zie mijn eerste reactie.
@RVermeij
Hmmm, kennelijk heb je geen idee wat een primair bedrijfsproces is. Uit je betoog veronderstel je ICT een doel te zijn, ipv het ondersteunende hulpmiddel hetgeen het eigenlijk is.
Wel is het zo dat veel managers (in het kader van ‘wat de boer niet kent, eet ie niet’) bij voorbaat afwijzend staan tegenover (technische) securitymaatregelen, zeker als deze machines proactief beslissingen nemen over de gegevensstroom (bijv. IPS).
Belangrijk in deze is de mate van bescherming van elektronische gegevensverwerking tbv primaire processen. Goede assessments zijn dan ook onmisbaar in het implementeren van goede securitymaatregelen, alles ‘zomaar dichtgooien totdat iemand begint te piepen’ is in ieder geval niet goed.
@Amber:
Je hebt helemaal gelijk! Bedankt voor de lessen in argumenteren en drogredenen, Was erg leerzaam.
@Peter:
Blijkbaar is “een primair proces” een dagelijks kunstje in het bedrijf waar geld mee verdient word. Maar wat voor de ene persoon in het bedrijf het “primaire proces” is, kan voor een ander persoon “slechts bijzaak” zijn, omdat zijn, haar dagelijkse werk uit andere dingen bestaat.
Managers:
Dat vele managers geen kaas van ict hebben gegeten is me in de loop der jaren in businessland wel duidelijk geworden.
Dat vele managers inhoudelijk ook niet willen zien dat een smooth-running ict infrastructuur kan bijdragen aan het nog gemakkelijker en nog meer geld verdienen in het “primaire proces” is al helemaal te hoog gegrepen blijkbaar.
Door managers word tegen ict maar al te vaak aangekeken als tegen “de brandweer..” Wat heb ik eraan, het kost me te veel, en het valt alleen pas op als er echt brand uit breekt Voorbeeld:
– de email server is down
– database server is omgevallen
– bedrijfsgegevens zijn gehacked (door gebrek aan security en oprechte betrokkenheid van het management)
– webserver is “ineens” uit de lucht
– mijn mailbox zit (weer eens) vol
– ik heb een virus op mijn laptopje
Maar bedrijven waarbij managers en ict-er samenwerken om te zien hoe ict het primaire proces kan verlichten en optimaal kan ondersteunen zijn nog dun gezaaid in dit landje.