Rondom informatiebeveiliging heerst de hardnekkige, etterende boodschap dat 100 procent veiligheid een utopie is. Wie het onderwerp begrijpt, ziet in dat deze stelling irrelevant is. Het continu herhalen ervan leidt echter tot gebrek aan zingeving onder mensen die verantwoordelijk zijn voor informatiebeveiliging. Willen we vooruit, dan hebben we een heel andere motivatie nodig. Doorbreek de status quo en ga voor 100 procent!
De status quo in informatiebeveiliging laat gebrekkige motivatie zien om de effectiviteit ervan te vergroten. En als daarin al verbeteringen zichtbaar zijn, dan gaan ze wel tergend langzaam. Ik ben tot het inzicht gekomen dat dit voor een belangrijk deel veroorzaakt wordt doordat verantwoordelijken zich de vraag stellen: ‘hoeveel zin heeft beveiliging eigenlijk?’ En dat wordt weer versterkt door één veelgehoorde boodschap, namelijk dat 100 procent veiligheid een utopie is. Ten eerste is dat onzin, ten tweede is het zelfs heel erg irrelevant. Informatiebeveiliging draait om risicomanagement en je bepaalt zelf hoe je met je risico’s om wilt gaan. Als je dus een datalek ervaart, is dat een keuze.
Mijn boodschap: 100 procent veiligheid is haalbaar, maar de weg ernaartoe is veel belangrijker. Wacht dus niet langer en start vandaag.
Hoe is het gesteld met de beveiliging bij het gemiddelde Nederlandse bedrijf? Ik heb de afgelopen jaren de meest uiteenlopende organisaties bezocht en gezien dat hun beveiliging vaak verre van compleet is. Ik ben bang dat het gemiddelde bedrijf niet veel verder komt dan 30 procent veiligheid. Er zijn zelfs gevallen waar de score volgens mij nauwelijks boven de 0 procent komt. Het gaat dan om bedrijven die weliswaar beveiligingsoplossingen hebben aangeschaft en uitgerold, maar waar vervolgens niets of nauwelijks aan beheer wordt gedaan. Dan had je in feite die beveiligingsoplossingen ook niet hoeven kopen, want beheer en onderhoud is cruciaal voor de effectiviteit van iedere beveiligingsoplossing. Dat is dan ook een van de eerste praktische zaken die voor de beveiliging moeten worden aangepakt.
Drie hoofdvragen
Een ander essentieel punt is dat het implementeren van zelfs ook de beste beveiligingsoplossingen weinig effectief is als er geen goed plan en beleid achter zit. Het kost handenvol geld, maar het doel van volledige veiligheid komt niet eens in beeld. Wat dan wel? In mijn optiek draait het om drie hoofdvragen.
De eerste vraag: wat zijn de doelstellingen van de beveiliging? Adviezen en tips op internet kunnen handig zijn, maar ga in de eerste plaats uit van de eigen bedrijfsdoelstellingen. En daarbij: dit is een managementonderwerp, geen it-onderwerp!
De tweede vraag: welke risico’s loopt het bedrijf op dit moment en in het verlengde daarvan: hoe groot is de schade die het bedrijf kan oplopen? Denk ook aan risico’s die helemaal niet technisch van aard zijn, zoals vertrouwelijke papieren die niet door de papierversnipperaar gaan, of een oude computer of server die wordt weggegooid en waar nog gevoelige informatie op staat. Je zou het niet denken, maar dit zijn geen uitzonderingen; het gebeurt vrijwel elke dag.
De derde vraag: welke risico’s moeten afgedekt worden en welke niet? Die vraag is alleen te beantwoorden als de twee eerste vragen goed zijn beantwoord. Alleen wie zich echt bewust is van de risico’s en van de gevolgen als het onverhoopt misgaat, kan de juiste beveiligingsstrategie kiezen. Voor de acceptabele risico’s zijn natuurlijk wel de nodige controles nodig om beveiligingsproblemen direct te signaleren. En vervolgens moet er ook snel en adequaat gereageerd kunnen worden.
Preventie, respons en organisatie
De antwoorden op de drie vragen leiden tot een aanpak die bestaat uit preventie, respons en organisatie. Welke hiervan als eerste wordt aangepakt is eigenlijk niet zo belangrijk. Een bedrijf kan zelf een keuze maken. Maar let wel: er mag geen enkel element overgeslagen worden! Beveiliging kent ook geen vast begin- en eindpunt, want elk van deze drie aspecten verandert voortdurend. Informatiebeveiliging is een proces waar nooit een eind aan komt!
Bij preventie wordt aan de hand van het beleid en de schade-inventarisatie gekeken hoe de eerder bepaalde risico’s het beste kunnen worden voorkomen of afgedekt. Securitytechnologie speelt weliswaar een belangrijke rol, maar er zijn ook heldere beleidsregels en procedures nodig. Bij response gaat om het continu detecteren van verdachte activiteiten op het netwerk en de systemen, waarbij zo nodig direct actie kan worden ondernomen. Bij organisatie, tot slot, gaat het om het goed plannen, inrichten en formaliseren van de beveiligingsaanpak. Over het algemeen is mijn advies om bij de organisatie te beginnen. De realiteit is echter dat er bedrijven zijn die een snelle oplossing nodig hebben. Zo’n bedrijf kan beter met preventie of respons beginnen.
Ik ben ervan overtuigd dat door de drie kernvragen volledig te beantwoorden en preventie, response en organisatie goed in te richten, de deur echt helemaal dicht kan. 100 procent veiligheid is absoluut haalbaar en zelfs als een bedrijf de laatste fracties van procentpunten niet haalt, zijn de meeste risico’s – en zeker de grootste! – dan in ieder geval onder controle.
Een directeur van een netwerkbeveiligingsbedrijf dat beweert dat 100% veiligheid mogelijk is. Juist
Onderbouwing van deze stellingname zou ik wel eens willen zien.
Erik,
‘Put your money where you mouth is’ en biedt maar een SLA aan met 100% garantie zonder aanvullende voorwaarden en uitvluchten.
Zelfs een klein risico kan helemaal uitgebuit worden zonder dat de beveiliger het in de gaten heeft en de respons te laat is.
Denk aan nieuwe virussen die de antivirusscanner misleiden.
100% veiligheid, utopy!
Lastig is dat je nooit weet wanneer het 100% is, dat is niet te bewijzen. Geloof ook niet in de 100%, het grootste gevaar kom vant binnenuit en dat is niet uit te sluiten.
@deerstereakties….De schrijver van dit artikel zegt niet dat 100 procent haalbaar is. Hij zegt dat we moeten stoppen met struisvogelgedrag onder het motto dat 100 procent toch niet haalbaar is.
Bovendien moeten we stoppen met het als een it-probleem te zien en het als een organisatie-issue aanpakken. Op basis van risico analyse wel te verstaan, waarbij bepaalde risico’s als aanvaardbaar worden beschouwd.
@Marshall
lees laatste zin:
‘100 procent veiligheid is ABSOLUUT haalbaar en zelfs als een bedrijf de laatste fracties van procentpunten niet haalt, zijn de meeste risico’s – en zeker de grootste! – dan in ieder geval onder controle.’
Maar je hebt gelijk, het moet uit de organisatie komen.
Je kunt nog zo’n mooie IT-oplossingen hebben die ook nog werken. Als de gebruiker er niet mee kan omgaan is datgene waar je een oplossing voor hebt nog een risico!
@Marshall
Auteur zegt meerdere malen dat 100% veilgheid haalbaar is, de deur helemaal dicht kan en dat wekt een verwachting die niet waargemaakt kan worden. Beetje dus als al die bankiers die roepen dat mijn spaargeld 100% veilig is;-)
Risico management gaat trouwens per definitie uit van een aantal onzekerheden waarbij maatregelen vooral gericht zijn op het beperken van de schade en in informatiebeveiliging zorgt dat nog weleens voor verkeerde prioriteiten. Als je denkt dat je 100% veilig bent, test het!
@ Erik Remmerswaal
Ik volg je beredenering wel maar het is wel heel erg pretentieus en ambivalent zoals je het hier zo neerzet natuurlijk. Doe je dit om een statement te maken of een discussie uit te lokken?
Beveiligen 100%
Ja hoor dat kan. Trek je stekker uit je intranet en internet, ontkoppel je LAN en je bent voor 95% veilig. Sluit daarbij alle aansluitingsmogelijkheden voor USB en UTP peripherals af en je komt tot 98%. Maar tja, dan heb je nog die 2%.
Bedrijfsdoelstelligen geen IT?
Daar durf ik rustig een reeks vraagtekens achter neer te zetten. Vanuit mijn beleving en ervaring is IT ‘bedrijfs kritisch’… ook wanneer MT of board dit misschien niet zo heel erg kritisch vind. Dus zou IT en de wijze waarop je met IT om gaat niet behoren tot bedrijfsdoelstellingen? Ik durf dat punt wel met je aan.
Welke risico’s?
Download even een aardige white paper betreffende je onderwerp.
-> http://www.numoquest.nl/IT%20Crisis%20mgt.pdf
@Erik Remmelzwaal, u beschrijft veel zinnige zaken die geregeld moeten worden, zoals vanuit de bussiness beveiligingsdoelen stellen en dan daar gestructureerd aan gaan werken. En 100% veiligheid proberen te bereiken is in vele gevallen een zeer aan te bevelen doel.
Maar gelooft u werkelijk 100% wat u geschreven heeft? Zoja, durft u dan een beloning uit te loven voor degene die uw website http://www.dearbytes.com plat legt of kraakt, of één van uw PC’s of andere devices weet te besmetten?
We zijn benieuwd naar uw reactie.
Er zijn voorbeelden van 100 procent veilige omgevingen en misschien niet eens ingevuld met de antwoorden op de vragen van Erik. Maar garanties kan niemand geven, met name voor lekken in de interne organisatie.