Wanneer het gaat om IT-security houden veel mensen er een SEP (Somebody Else’s Problem)-mentaliteit op na. Verantwoordelijkheid voor security kan je echter niet outsourcen. Het is een probleem van iedereen.
Over deze blogger
Oorspronkelijk afkomstig uit Nieuw Zeeland, begon Ian Intragen in 2006 nadat hij bij verschillende bedrijven in de VS en Londen werkzaam was. Als Principal Consultant van Intragen heeft Ian gewerkt aan veel van de grootste projecten in Nederland en door heel West-Europa. Met een brede ervaring met kleine en grootschalige implementaties, zowel in de private als publieke sector, brengt hij een pragmatische aanpak voor problemen die rondom identity & access management-projecten optreden. Voordat hij Intragen begon werkte Ian voor wereldwijde leveranciers en adviesbureaus op het gebied van infrastructuur en security.
Nederland staat bekend om zijn eindeloze strijd tegen het water en sinds de middeleeuwen hebben we hier een goed functionerend dijkbewakingssysteem. Dat is niet zonder reden. Iedereen begrijpt dat dijken belangrijk zijn, want water maakt het niet uit of je een respectabele dokter of een landloper bent. De dijkgraaf was en is een respectabele figuur en als hij ’s nachts langskwam en zei dat je moest komen deed je dat zonder morren. En ook de dijkcontrole was en is goed geregeld. Want tja, als je pas maatregelen gaat nemen wanneer de boel overstroomt, ben je te laat.
IT security heeft niet bepaald dezelfde status als dijkbewaking, maar het zou wel die status moeten krijgen. Een hack als die bij Sony laat wel zien hoe catastrofaal de gevolgen van een security-breuk kunnen zijn. Bovendien wordt de digitale wereld steeds belangrijker en is er steeds meer informatie digitaal beschikbaar .. en dus ook te stelen! Hoe maak ik van IT-security een publieke zaak die te vergelijken is met die van de dijkbewaking? Drie tips:
- Maak van de CSO een dijkgraaf. Momenteel is het nog zo dat de CSO wel verantwoordelijk is voor de IT-veiligheid, maar hij ontbeert de autoriteit om zijn beleid echt door te zetten. Eigenlijk zou de CSO in de board moeten zitten. In de praktijk is het allemaal zelden het geval. Gevolg: ‘de business gaat voor’ is een veelgehoord argument en van het security-beleid komt niks terecht. Geef de CSO dezelfde macht als een dijkgraaf uit 1600. Dan wordt beleid veel beter opgevolgd.
- Stop met het outsourcen van problemen. Veel organisaties vinden security geen core business en zien het als een verantwoordelijkheid die ze liever kwijt dan rijk zijn. Wat is er dan makkelijker om het beleid te outsourcen en een cloud-leverancier aan te nemen die die verantwoordelijkheid wil dragen? Ik zou zeggen: een big no. Mensen buiten de organisatie weten niet wat er speelt en wat echt jouw grote security-risico’s zijn. Security is naast een IT-probleem vooral ook een probleem van mensen en dat weet zo’n dienstenleverancier niet. Neem in ieder geval één dedicated persoon aan die zich hier mee bezig kan houden en echt verstand heeft van de materie. En kies voor een interne of appliance-based-oplossing in plaats van cloud wanneer het op security aankomt. IT-security moet je niet buiten de organisatie leggen, je wil zelf aan de knoppen kunnen zitten.
- Zorg voor een goede security analytics. Dijkcontrole is ontzettend belangrijk en dat geldt evenzo voor security. De mensen van Sony hadden toch iets moeten vermoeden toen de traffic naar buiten enorm toenam. Ze monitorden echter niets en hadden dus ook niets in de gaten. Maak van security analytics een absolute prioriteit en definieer ook wat je als verdacht zou aanmerken. Dan stop je tijdig een vinger in het gat in de dijk wanneer er een hack plaatsvindt.
