Veiligheid en bedreigingen beheersen het nieuws, zowel fysiek als digitaal. Gelukkig kom ik in mijn omgeving de fysieke variant slechts op afstand tegen. In de digitale wereld liggen bedreigingen overal en altijd op de loer. Vanuit zakelijk perspectief is dit vanzelfsprekend ook regelmatig onderwerp van gesprek.
Het bijzondere aan deze gesprekken is echter dan in it de meeste gesprekken dan ‘inside-out’ gericht zijn. Het gaat bijna altijd over maatregelen, hulpmiddelen, hardware en software. Maar daar gaat het natuurlijk helemaal niet om, het is geen middelen-discussie. Benader dit onderwerp liever vanuit de potentiële bedreigingen. Wat kan je gebeuren, hoe groot is de kans en impact, en bekijk vanuit dat perspectief naar de mogelijke maatregelen, de impact en de kosten daarvan.
Threat-analysis
Tijdens mijn activiteiten in de veiligheidsketen (Defensie, enzovoorts.) was het gebruikelijk te spreken over threat-analysis. Wat kan er gebeuren, in hoeverre is dit een risico, voor wie is dit een bedreiging en in welke mate, in hoeverre is er sprake van verhoogde kwetsbaarheid, en ga zo maar door. Niet voor niets werken organisaties die zich bezighouden met veiligheid vanuit het perspectief van de bedreiging. Zwitserland heeft niet voor niets geen marine.
Als je vanuit je bedreigingen en risico’s redeneert leg je de nadruk op wat je echt bezighoudt. Net zo goed als dat we ons niet moeten verzekeren tegen ‘te dragen onverwachte kosten’ moeten we niet teveel tijd, energie en geld besteden aan ‘bedreigingen met lage impact waarvan de kans dat ze optreden klein is’. Daarbij pleit ik niet tegen eenvoudige ‘commodity’ maatregelen. Natuurlijk is het wijs om firewalls, wachtwoorden, back-ups, et cetera als basisvoorziening in je architectuur op te nemen. We doen de deur van ons huis ook op slot en een eenvoudige strip op het bovenraam is een goedkope en snel te installeren, onderhoudsvriendelijke maatregel die geen beperking in het gebruik betekent.
Focus
Leg de focus dus op bedreiging, impact, kans, aanwezige maatregelen in de diverse onderdelen van je it-omgeving (netwerk, hardware, software, database, …) en je krijgt snel een overzichtelijke matrix waarin je vanuit het perspectief van bedrijfsvoering ziet waar je grootste risico ligt en maatregelen ontbreken of tekortschieten. Beveilig wat je wilt beveiligen, denk in termen van preventie en herstel, van kosten en beperkingen in gebruik. Let er ook op dat maatregelen die beperkingen in gebruik betekenen, resulteren in het omzeilen van de maatregel. Ingewikkelde eisen aan wachtwoorden resulteren nog al eens in een bijzonder veilig wachtwoord, wat vervolgens overal gebruikt wordt… Ik sluit mijn auto altijd netjes af, maar bij iedere parkeeractie een fysieke beveiliging op het stuur vastzetten kost op den duur te veel moeite, geen gebruik, en schijnveiligheid.
De juiste beveiliging begint met een dreigingsanalyse en bewustwording. Als je hier eenmaal inzicht in hebt, is het invullen van de maatregelen een bewust keuzeproces, waarbij beveiligingsdeskundigen hun werk uitstekend kunnen doen. We begrijpen dan waarom we iets willen doen, en wat. Het hoe is dan aan hen. Zet dus altijd de know-why voor de know-how.
Veiligheid of bedreigingen ? Geen van beide. Het gaat om kosten, gebruiksgemak, populariteit, trends, businesscontinuiteit, kunnen afschuiven van verantwoordelijkheid en put dempen als het kalf verdronken is.
Het gaat inderdaad over de verhouding tussen kans en impact, waarbij de reducerende maatregelen meegenomen zijn in de berekeningen. Daarnaast heb je nog de bedreigingen met een zeer hoge impact en een zeer kleine kans. Hier moet je zeker ook rekening mee houden omdat deze in de berekeningen vaak niet terug komen als groot risico, terwijl ze dit weldegelijk zijn.