Security krijgt in de boardroom vaak niet de aandacht die het verdient. En dat terwijl je toch regelmatig in de kranten over cybercrime leest. Vandaag beschrijf ik drie redenen waarom C-level beslissers security niet op de agenda hebben.
Over deze blogger
Oorspronkelijk afkomstig uit Nieuw Zeeland, begon Ian Intragen in 2006 nadat hij bij verschillende bedrijven in de VS en Londen werkzaam was. Als Principal Consultant van Intragen heeft Ian gewerkt aan veel van de grootste projecten in Nederland en door heel West-Europa. Met een brede ervaring met kleine en grootschalige implementaties, zowel in de private als publieke sector, brengt hij een pragmatische aanpak voor problemen die rondom identity & access management-projecten optreden. Voordat hij Intragen begon werkte Ian voor wereldwijde leveranciers en adviesbureaus op het gebied van infrastructuur en security.
Als specialist op het gebied van Identity en Access management hoor ik vaak van bijzondere beveiligingslekken, zoals bij Red Rooster in Australië. Bij het bedrijf nam een inkoper ontslag na een felle discussie. De man was zo boos dat hij besloot z’n baas eens een flinke financiële strop te bezorgen. Om dit te bewerkstelligen kocht hij diezelfde avond op naam van het bedrijf via het online bestelsysteem duizenden kippen bij verschillende kippenboeren in het land. Een oplettende leverancier detecteerde de bizarre order en zodoende werd de actie nog op tijd verijdeld. Maar Red Rooster zelf had niks in de gaten gehad. Ze waren hevig geschrokken door het incident en realiseerden zich dat ze hun inkopers wel erg veel macht hadden gegeven. Controlemechanismen ontbraken en zodoende werd er een project opgestart om te kijken wie nu over welke bevoegdheden beschikte. En ook het access management werd eindelijk onder de loep genomen.
Dit zie ik dus vaker: de leiding van het bedrijf wordt pas doordrongen van de noodzaak van een I&AM-project wanneer het eigenlijk al te laat is. Er moet altijd eerst een incident zijn en pas dan volgt er een beveiligingsproject. En dat terwijl het topmanagement meestal wel welwillend is om risico’s op het gebied van ICT af te dekken. Drie belangrijke oorzaken waarom I&AM vaak niet doordringt in de boardroom.
- Er is geen verantwoordelijke voor het thema: In het Verenigd Koninkrijk was er een aantal jaren geleden een incident waarbij de persoonsgegevens van 25 miljoen Britten op straat kwamen te liggen. Er werd onderzoek gedaan en uiteindelijk werd er door de minister gewezen naar een arme junior als eindverantwoordelijke. Het kan natuurlijk niet zo zijn dat hij inderdaad verantwoordelijk is voor al die gegevens. Iemand van een hoger niveau heeft hier de fout gemaakt door zo’n jongen dergelijke bevoegdheden te geven. Dit voorbeeld illustreert een trend, binnen bedrijven is er vaak niet één persoon verantwoordelijk voor ICT-beveiliging maar zijn de taken versnipperd over verschillende mensen en afdelingen. Het wordt nog erger doordat geen van deze mensen het mandaat heeft om dit thema op C-level te agenderen.
- Een onjuist beeld van risico’s: De C-level-beslissers zijn vaak wat ouder, rond de vijftig jaar, en zijn daardoor minder goed bekend met ICT. Dat kan resulteren in een vals gevoel van veiligheid. Een stuitende opmerking die ik laatst kreeg kwam van een board member die vertelde dat er nog nooit een datalek gerapporteerd was. Het feit dat de mogelijke datalekken die er zijn niet gerapporteerd worden is tekenend voor het gebrek aan aandacht binnen deze organisatie voor de data-veiligheid. Maar ook wanneer er wél besef is dat er iets aan I&AM gedaan moet worden denken C-level spelers meestal aan de verkeerde risico’s. Ze menen bijvoorbeeld dat het gevaar van hackers en andere inbrekers komt, terwijl de meeste datalekken het gevolg zijn van handelen van de eigen medewerkers.
- Kennis van oplossingen is vaak anekdotisch: De board heeft vaak weinig kennis van de beschikbare security hulpmiddelen. Wat ze kennen is gebaseerd op hun privé-ervaringen, bijvoorbeeld een antiviruspakket of een firewall. Maar ook als er wel onderzoek gedaan is, merken we dat het vaak om anekdotische informatie gaat. Ze hebben bijvoorbeeld kennis genomen van een mobile device management-oplossing, maar laten het WiFi-netwerk buiten schot. De enige juiste aanpak is alle aspecten mee te nemen, van de fysieke infrastructuur tot de directory-toegang.
Helaas wordt er hier alleen de logische security gekeken. Security is niet alleen logisch, fysiek of organisatorisch. Zonder integrale aanpak zal security nooit op C-level komen. Tevens dient er vanuit de business gekeken te worden naar risico’s en vandaar uit zal er een strategie worden bepaald.