IT-security dringt maar langzaam door in de boardroom. Olie- en gasbedrijven plus banken voorop, de rest er achteraan. Ronald Prins van Fox-IT begrijpt het wel: “Ik kan ook niet alles doen wat mijn CSO me aanraadt”.
Over de blogger
Ronald Prins is directeur en medeoprichter van Fox-IT. Hij studeerde Technische Wiskunde aan de TU Delft en heeft zich daarna gespecialiseerd als cryptograaf. Bij het Nederlands Forensisch Instituut was hij werkzaam als wetenschappelijk onderzoeker. In het kader hiervan heeft hij vele beveiligingen doorbroken waar de politie tegenaan liep bij het uitvoeren van hun onderzoeken. Daarnaast is hij medeverantwoordelijk voor de inzet van nieuwste methoden om digitale informatie voor rechercheonderzoeken te verkrijgen. In 1999 heeft hij samen met Menno van der Marel Fox-IT opgericht.
Relativiteitstheorie voor IT-security
Het is namelijk heel moeilijk om de werkelijk relevante gegevens op een overzichtelijk dashboard te krijgen, geeft Prins aan. Dus meestal krijgt de manager een beperkt beeld te zien wat van het zou moeten zijn. De complexe keten van connecties en daarmee gevolgen is zelden zichtbaar. “Niemand had voorzien dat het overmaken van de salarissen van ambtenaren afhankelijk was van DigiNotar”, haalt Prins het schokkende security-incident van de gehackte certificatenverstrekker aan. Volgens hem is een nieuwe mindset nodig, om beter voorbereid te zijn op het onbekende.
Het gaat er niet om superveilig te zijn, maar om weerbaar te zijn, aldus de mede-oprichter van de Nederlandse securityspecialist Fox-IT. “Hoe dichter je bij 100 procent veilig komt, hoe explosief duurder en onwerkbaarder het wordt.” Een soort relativiteitstheorie voor IT-security als het ware. Die complexiteit – en oplopende kosten – kan het management allicht afschrikken. Zeker wanneer zij al veel geld in IT en IT-security hebben gestoken.
Toch moet het management van bedrijven wel meer doen aan IT-security. De tijd is definitief voorbij dat een enkele antimalware-product afdoende was. Probleem is dat het nog niet duidelijk is wat dan wel de oplossing is. Voor zover er een dekkende oplossing bestaat. “Niemand weet hoe je het moet oplossen”, vertelt Prins. Duidelijker is wel hoe het niet moet: “Managers willen een dashboard, maar dat geeft vaak een vals gevoel van veiligheid.”
IT-insecurity kan C-level banen kosten
Tegelijkertijd gaan er forse economische prikkels uit van digitalisering, waarbij security ervan onontkoombaar is. Doet een bedrijf dat niet, dan kan het voor de bijl gaan zoals recent nog de Amerikaanse winkelketens HomeDepot en Target. Bij laatstgenoemde zijn achtereenvolgens de CIO en CEO hun baan kwijtgeraakt. Dus is kostbare IT-security de prijs die betaald moet worden voor de winsten van vergaande digitalisering? Prins nuanceert: “Je moet je ook afvragen of je wel de eerste wil zijn, die met vallen en opstaan leert.” Zo heeft Zuid-Afrika veel betere 4G-dekking dan Nederland, weet hij te vertellen.
De bekende wet van de remmende voorsprong is dus ook van toepassing op beveiliging. Dat houdt echter niet in dat non-IT-bestuurders security kunnen laten liggen. Dat gebeurt ook niet, hoewel veel van de huidige maatregelen “wel heel erg compliance-gedreven zijn”, oordeelt Prins. “Ik snap dat ook wel: de board heeft heel veel op het bordje liggen.” De directeur van Fox-IT biecht op dat hij ook niet alles doet wat zijn chief security officer (CSO) hem aanraadt te doen. Niet alles, niet meteen.
Risico’s beperken en accepteren
Waarbij Prins wel het belangrijke onderscheid maakt dat security bij zijn bedrijf weer van hele andere orde is dan bij andere ondernemingen. Zo ontvangt hij wel mail op zijn smartphone, maar ziet hij dat als een risico. Om dat te minimaliseren, heeft hij een mailhistorie van maximaal drie dagen op dat verlies- en steelbare apparaat. Gecombineerd met mogelijkheden voor wissen op afstand én de organisatorische optie om dat ook direct midden in de nacht te kunnen laten doen. Security is dan ook vooral een kwestie van cultuur; bij organisaties en de mensen die er werken.
