Gezeur over de veiligheid van de it is een van de belangrijke redenen van projectvertraging in grotere organisaties. Het instellen van een firewall duurt meestal enkele maanden, ook als het maar om één regel in een configuratiebestand gaat. En dan hebben we het nog niet gehad over de uitgebreide risico-inventarisatie die door de projectleider over het hoofd was gezien. Als die alsnog gedaan moet worden loopt het project nog verder uit.
In kleinere organisaties neemt men het vaak niet zo nauw met nadenken over de it-beveiliging. Niet gehinderd door enig inzicht in de risico's worden er systemen online gepleurd. Als het maar werkt, denk men dan. Maar die kruik gaat net zo lang te water tot zij barst.
In al deze organisaties is ontkenning van risico's. Men wil er gewoonweg niet aan denken dat elke technologie risico's met zich meebrengt. Ook al worden voorbeelden genoemd, men haalt de schouders op: 'Het zal zo'n vaart toch wel niet lopen, hoe erg is het nu werkelijk? Dat gebeurt in de praktijk toch niet?'
Wel, alle risico's die genoemd worden zijn er echt. Het is zelfs erger dan je denkt. Ik verkeer wel eens in hackerskringen en daar worden hacks gedemonstreerd waar je de rillingen van over de rug lopen. Een overheid met al die mogelijkheden in huis laat de politiestaat in Orwell's '1984' lijken op een aflevering van de Teletubbies.
Vreemd genoeg hebben diezelfde hackers ook last van ontkenning van risico's. Tijdens een van hun conferenties klaagde men over de hoeveelheid regels die het bijna onmogelijk maken om een openluchtmanifestatie te organiseren. Vreemd, want op dat soort manifestaties vallen nog steeds regelmatig doden door fouten of nalatigheid van de organisatie.
Maar risico's zijn geen reden om maar helemaal niets meer te doen. Het totaal afwijzen van technologie gaat de wereld niet verder helpen. Wat voor sommigen een fataal risico is, kan voor een ander acceptabel zijn.
Technologiemanagement is risicomanagement.
Alleen jammer dat er meer YouTube-video's te vinden zijn van rondvliegende festivalkraampjes dan van beveiliginghacks.
Peter van Eijk is onafhankelijk adviseur op het gebied van digitale infrastructuren (www.peterhjvaneijk.nl).
Treffende beschrijving van het dilemma (soms spagaat) tussen projectresultaat en beveiliging. Mijns inziens moeten er betere criteria voor beveiliging komen zodat projecten weten welke eisen er gesteld worden.
Als IT-Auditor is me dit uit het hart gegrepen!
Steeds weer verbaas ik me er over dat vrijwel zonder uitzondering alle hosanna geluiden aangaande de cloud komt uit de hoek van partijen die een rechtstreeks belang hebben bij het slagen van hun nieuwste strategieën.
Op zich niets mis mee, maar een onafhankelijke toets over de daadwerkelijk geboden meerwaarde en daarbij te lopen risico’s zou minimaal een vast onderdeel van elk zichzelf respecterend vakblad behoren te zijn.
Mijn gouden stelregel blijft: ‘Je kunt uitbesteden wat je wilt, maar verlies nooit het vermogen om te beoordelen wat je geleverd krijgt!’
Verstandiger is om standaard een gedegen risico analyse uit te (laten) voeren, waarbij de organisatie helder maakt welke classificatie men wenst toe te passen qua informatiewaarde en welke impact het heeft op de organisatie indien bepaalde data verloren gaat of in onbedoelde handen terecht komt.
Is het antwoord daarop dat het bedrijf wel kan sluiten, dan moet je het dus gewoon niet doen. Zekerheden dat het nooit gebeurd kan namelijk niemand geven. In Fukushima dachten ze ook dat 7m wel de maximale hoogte was van een tsunami.
En alleen de organisatie zelf kan aangeven wat belangrijk is en welke risico’s men verantwoord acht. Algemene termen als ‘bij ons is uw data veilig’ zeggen m ij dus niets.