In dit drieluik positioneer ik een open en publieke methode die informatiebeveiliging toepast als ondersteuning van de business en niet als een beveiliging die juist de zakelijke kansen blokkeert. In dit eerste deel schets ik de huidige status die informatiebeveiliging vaak bij bedrijven heeft. Het tweede deel beschrijft de zienswijze en methodiek die hierin verlichting kan brengen en in het derde deel beschrijf ik een case waarin deze zienswijze een belangrijke rol speelt.
Beperken, blokkeren, afsluiten is wat 'ze' doen. Duur, lastig en vertragend is hoe wij het ervaren. De informatiebeveiliger staat niet in hoog aanzien bij de gemiddelde gebruiker. Uitzonderingen daargelaten. Op z'n best krijgt de beveiliging de kwalificatie 'een noodzakelijk kwaad', maar ook aan effectiviteit en daarmee aan de noodzaak van de ingezette middelen wordt vaak getwijfeld.
Toppertje
Natuurlijk kan een beveiliger rekenen op de waardering van zijn vakgenoten als hij het heeft klaargespeeld om in het afgelopen jaar het aantal netwerkinbraken terug te brengen naar nul, dat er geen informatie op straat is komen te liggen, er geen virusinfectie heeft plaatsgevonden en dat vertrekkende medewerkers binnen één minuut geen toegang meer hebben tot welk systeem dan ook. Geweldig! Je bent de gevierde man, een topbeveiliger, je mag een hoofdartikel schrijven in de vakbladen. Jammer dat het bedrijf waarvoor je werkt prachtige groeikansen heeft gemist, samenwerking met partners enorm achter blijft vergeleken met de concurrent en het personeelsverloop aanzienlijk is gestegen.
Voordat iedereen mij nu begint te spammen, dit extreme voorbeeld is slechts om een impliciete koppeling duidelijk te maken. Als je bijvoorbeeld onnodig hoge beveiligingseisen stelt aan je businesspartners, dan haken ze af. Als jouw webshop door te zware of onhandig geïmplementeerde beveiligingsregels minder functionaliteit kent dan die van de concurrent, dan verlies je terrein. Ik heb situaties gezien waarbij de security-afdeling, wuivend met wetten, regels en standaarden, een bedrijf vleugellam maakt. Waar de afdeling IB informeel was omgedoopt tot de afdeling BB, de afdeling Business Blokkade. Natuurlijk niet overal, maar bij veel bedrijven heerst het gevoel dat IB eerder in de weg zit dan meehelpt.
Taboe voorbeeld
Om maar even een veel voorkomend voorbeeld te noemen en een taboe te doorbreken, de policy: 'wachtwoorden mogen niet worden opgeschreven'. Ik stel: dat is een onrealistische eis. Met zo'n honderd wachtwoorden die ik zou moeten onthouden zou ik per direct mijn werk niet meer uit kunnen voeren. Ik heb al moeite met mijn eigen telefoonnummer en die wijzigt niet eens elke zes weken. Dus we hebben hier een eis waarvan we weten dat die niet nageleefd wordt (kan worden), maar hij blijft er staan. De BBC maakte melding over een UN rapport dat tegen de wachtwoordoverstroming waarschuwde. Daarin riep men organisaties op om samen tot een oplossing te komen. Dat was veertien (!) jaar geleden. En we weten waar we vandaag de dag staan.
We zouden ook kunnen kiezen voor een oplossing waar we de medewerkers écht mee helpen, een hulpmiddel waarmee zij hun bedrijfswachtwoorden én privéwachtwoorden veilig kunnen opslaan. Of een proximity toegangsmiddel, waarmee we meerdere vliegen in één klap vangen. Is dat duur? Maar hoe duur is het om alle medewerkers te trainen om honderd wachtwoorden uit het hoofd te leren? En als je dat niet doet, hoe groot is het risico met te herleiden wachtwoorden of de post-its? De beveiliging met die sterke wachtwoorden is er tenslotte toch om een flink risico te beperken?
Het kan anders
We zijn onderhand zo gewend aan de negatieve eigenschap van beveiliging dat we er al vanuit gaan dat alle beveiliging lastig en onhandig is. Maar dat is onjuist. Een voorbeeld uit het verkeer kan dat verduidelijken.
Als ik een route rij waar kwistig met verkeerslichten is gestrooid, dan ervaar ik dat als reuze irritant. Ja, de verkeerslichten zijn er om het aantal ongelukken terug te dringen, maar dat neemt niet weg dat ik het erg irritant vind als de meeste lichten weer op rood staan. Veiligheid versus vriendelijkheid.
Maar het kan anders. Implementeer een groene golf en vanaf dat moment is de rij van tien verkeerslichten een heerlijke ervaring geworden. Zelfs als het druk is hoef je voor geen kruispunt te wachten of ook maar af te remmen. De veiligheidsvoorzieningen zijn effectief en vergroten zelfs de gebruiksvriendelijkheid! Het kán dus wel.
Informatiebeveiliging vanuit zakelijke doelstelling
Concluderend: informatiebeveiliging moet een ondersteuning zijn van de zakelijke doelstellingen van een bedrijf. Wat wil je bereiken en kijk hoe informatiebeveiliging je daarbij kan helpen. Daarmee moet de beveiliging dus ook realistisch en naleefbaar zijn en vooral niet blokkerend of contraproductief. Dat is een andere zienswijze. Wel heel logisch, bijna boerenverstand zou je zeggen. Maar het gebeurt veel te weinig. Dat komt omdat we een probleem niet vanuit een holistisch perspectief zien. Het wachtwoord voor ons systeem is het enige waar we naar kijken. De kruising waar we de verkeerslichten plaatsen is het enige kruispunt dat van belang is. Zodra een holistische kijk vanuit de businessdoelstellingen ontbreekt, kun je niet meer verwachten dat informatiebeveiliging de business ten volle ondersteunt. Om die beperking te voorkomen is er een open en publieke methode die dit probleem kan helpen oplossen: SABSA.
In het volgende deel van dit drieluik vertel ik je meer over SABSA en in het laatste deel zal ik een vereenvoudigde case beschrijven waarin de SABSA-zienswijze en -methodiek toegelicht worden.
