Bestaan er echt organisaties die geen tijd en geld hebben om een securitybeleid te ontwikkelen? Kort geleden maakte Computable melding van een onderzoek dat Kaspersky wereldwijd liet uitvoeren. Hoewel het onderzoek al uit april stamt en blijkbaar maandenlang op de plank heeft gelegen, zijn de uitkomsten niet minder verontrustend: 60 procent van de it-beslissers zegt geen tijd en geld te hebben om een behoorlijke security-strategie te voeren.
Bijna onvoorstelbaar. Er staan wel meer merkwaardige zaken in het artikel: zo wordt er gesproken van een ongebruikelijk segment ‘overheids- en defensieorganisaties’ dat ook nog eens heel slordig om zou springen met informatiebeveiliging. Ook opvallend is de uitkomst dat de helft van de bedrijven die wel mobiele devices gebruiken geen mobile security-strategie zouden hebben. Uit andere onderzoeken blijkt juist dat het hebben van een security-beleid bij de meeste organisaties absolute voorwaarde is voor het gebruik van bedrijfsinformatie op mobiele devices.
Eerlijk gezegd zijn de uitkomsten uit dit onderzoek moeilijk voor te stellen. De wet- en regelgeving laat immers weinig ruimte tot discussie. Wanneer persoonsgegevens zijn gestolen of gelekt, accepteert geen enkele toezichthoudende instantie het argument dat de cio te weinig tijd en geld had voor een goede security-strategie. Medewerkers die hun tablet veel gebruiken om te surfen op internet, kunnen zonder dat ze het weten een gevaar vormen; gevoelige bedrijfsinformatie op slecht beveiligde mobiele devices is de jackpot voor criminelen. En dan is de enorme reputatieschade die dit soort incidenten veroorzaakt nog niet eens genoemd. Maar volgens het onderzoek nemen veel organisaties dat risico gewoon, er vanuit gaand dat de kans dat het ze overkomt erg klein is en dat informatiebeveiliging geld kost. Dat klinkt wel heel erg naïef.
Het ontwikkelen van een goede security-strategie kost natuurlijk tijd, maar eenmaal vastgelegd behoeft het niet dagelijks bijgestuurd te worden, uiteraard wel gemonitord. De implementatie van een goed beveiligingsprogramma vraagt een investering maar hoeft helemaal geen kostbare aangelegenheid te zijn. De nieuwe generatie firewall appliances beschermt in één keer tegen het volledige scala aan internetbedreigingen, zoals aanvallen van virussen, malware, en hackers. Bovendien zijn de firewalls in staat internetverkeer tot op medewerkerniveau te reguleren, verlies van data te voorkomen en mobiele devices veilige verbindingen te bieden. Het heet niet voor niets unified threat management (utm). Utm-appliances zijn volledig naar wens en behoefte configureerbaar en worden via online abonnementen up-to-date gehouden.
Zijn die utm-appliances dan zo duur dat een gemiddeld bedrijf ze zich niet kan permitteren? In tegendeel. Ook het mkb heeft de utm-appliance ontdekt; ze bieden een uitstekende prijs/kwaliteitsverhouding met heel veel functionaliteiten en ze ontzorgen.
Voor veel internetverkeer is een zwaardere appliance nodig dan voor minder of weinig internetverkeer. Er zijn dan ook verschillende versies, met diversiteit in benodigde beschermingspower; allemaal uiterst betaalbaar.
Het is haast niet voor te stellen dat de in het onderzoek bevraagde IT-managers de markt zó slecht kennen. En wat als de cio bij het eerstvolgende beveiligingsincident de directie meldt dat hij geen tijd en geld heeft om een behoorlijk security-strategie te ontwikkelen en te implementeren? Daar komen hij en zijn directie vast niet mee weg.
Waarom zo verbaasd? De gemiddelde IT’er die met zijn/haar voeten in de modder staat staat hier echt niet van te kijken. Het hele punt van beveiliging is dat je het of goed doet of niet doet. Het maar half doen staat bijna gelijk aan niets doen.
En het begint bij de mensen. Dan pas heeft het zin om er geld tegenaan te gaan smijten.