Security is niet langer optioneel of zelfs essentieel. Het is verplichte kost en er valt niet over te onderhandelen. Technologie is tegenwoordig zó allesdoordringend dat security alles raakt. Net als je bij een contract éérst je advocaat ernaar laat kijken, moet je voor IT een securityblik (laten) werpen.
Over deze blogger
Ramses Gallego is werkzaam als Security Strategist & Evangelist voor Dell Software. Hij heeft meer dan 15 jaar ervaring als security specialist met expertise op het gebied van Risk Management & Governance. Naast zijn rol bij Dell Software is Ramses International Vice President en lid van de Board of Directors van ISACA. Voor zijn rol bij Dell Software heeft Ramses oa ook gewerkt bij CA Technologies ans Surfcontrol.
Begin met security meteen bij het begin. Eigenlijk wil je van je advocaat bij een contractkeuring alleen een ‘ja’ horen. Dat het in orde is, dat je kunt tekenen. Iedereen weet en accepteert dat zo’n keuring tijd kost. Voor security wil iedereen ook een ‘ja’ horen. Maar ook daar is tijd voor nodig. Die tijd moet je het geven. Op security kun je niet beknibbelen, je kunt er niet over onderhandelen.
Thatcher-slogan: TINA
Bedrijven worden geconfronteerd met nieuwe technologie. Daar moeten we ons op aanpassen en we moeten het omarmen. BYOD? Ja. Persoonlijke cloud? Ja. Persoonlijke 4G-verbinding? Ja. Persoonlijke satellietverbinding? Dat komt er wellicht ook aan. We leven in een chaotische wereld, waarin de oude slogan van Margaret Thatcher van toepassing is: TINA, there is no alternative. Moet ik X omarmen? Ja, je moet wel. Als jij het niet doet, doen je werknemers het wel. Óf je concurrent.
Cruciaal is dat je dit accepteert mét de juiste mindset. Met security van meet af aan. Door vragen te stellen. Vragen is goed. Volgens mij kan communicatie nooit fout zijn. Het gaat erom dat je aan de juiste mensen op het juiste moment de juiste vragen kunt stellen. Óf dat je dus op het juiste moment de juiste antwoorden (aan de juiste mensen) kunt geven.
Wie, wat, wanneer en hoe leidt naar waarom
Zodat je áls er iets is gebeurd, kunt zien wie er wat wanneer op welke manier heeft gedaan. Als je dat weet, dan krijg je automatisch antwoord op de bonusvraag ‘waarom?’. Het waarom van jezelf, van je eigen falen qua security. Dat antwoord heb je nodig: voor je eigen organisatie, voor aandeelhouders, voor de maatschappij.
Cyberinbraken raken namelijk niet alleen de getroffen organisaties, hun aandeelhouders en hun klanten. Ook burgers in de bredere zin worden geraakt. Neem bijvoorbeeld de grootschalige hack bij de Amerikaanse zorginstantie Anthem. Daar zijn id’s gestolen, dus dat raakt weer anderen. Andere mensen en andere organisaties. Waar kwaadwillenden dan met die gestolen identiteitsgegevens proberen te frauderen.
Het grotere (chaos)plaatje
Kijk eveneens naar de langere termijn. Bij de Home Depot-inbraak zijn zeker 56 miljoen creditcards gecompromitteerd. Als maar 1 procent van de slachtoffers hun creditcard niet wijzigt dan is dat een enorme buit voor kwaadwillenden. Zij kunnen dus best even wachten voordat ze met die gegevens elders hun slag gaan slaan. Bedrijven en overheden moeten dus hun risico zien te verkleinen. Dat kunnen ze doen door hun exposure factor te verkleinen. Daarvoor heb je een brede securityvisie nodig.
Security is tegenwoordig namelijk groot, veelomvattend. Het raakt je netwerk, je systemen, je applicaties, je end-points, je id’s, enzovoorts. Dus moet je elke vector bestrijken, want dat doet de bad guy ook én je klant ook. Security toepassen op maar een deel van je diensten, een deel van je organisatie geeft aanvallers kansen en je klanten risico. In die grote, complexe en gefragmenteerde chaos van de securitywereld gaan we volgens mij nu van ‘best of breed’ naar ‘best of need’. Security naar behoefte, daar kun je niet over onderhandelen.
