Op 1 januari is de nieuwe Europese cybersecuritywet ingegaan. Deze wet introduceert een aantal maatregelen die het voeren van goed cybersecuritybeleid makkelijker zullen maken. Dit is goed nieuws, aangezien het meer aandacht voor mobiele beveiliging oplevert. Het werd tijd ook, want uit onderzoek blijkt dat bedrijven mobiel kwetsbaar zijn en dat terwijl medewerkers steeds vaker vanaf hun smartphone of tablet werken.
Bij een groot deel van de bedrijven zijn mobiele apparaten een belangrijke en onderschatte bron voor hackers. Maar liefst 82 procent van de grotere it-bedrijven stelt bedrijfsgegevens beschikbaar via mobiele devices, blijkt uit onderzoek van Lookout in samenwerking met IDG. Dat betekent dat onder meer financiële cijfers, roadmaps, inloggegevens, en ga zo maar door voor het grijpen liggen. Het wordt dus tijd dat bedrijven met het oog op de invoering van de nieuwe wet Meldplicht Datalekken, die per 1 januari 2016 van kracht is, een aantal zaken in overweging nemen ten aanzien van de datalekken via mobiele telefoons van hun medewerkers.
Tot nu toe konden bedrijven diefstal van klantdata gemakkelijk onder de mat vegen en zo schade in hun pr voorkomen. Ze waren immers niet verplicht tot het openbaar maken van dit soort diefstal. Maar de wet verandert alles. En het is de hoogste tijd, want uit het onderzoek blijkt dat 74 procent van de bedrijven het slachtoffer is geweest van diefstal gepleegd via mobiele platforms. Beveiligingsofficieren noemen apps met malware, apps die gevoelige data uitzenden en gejailbreakte apparaten als de grootste boosdoeners. En omdat mobiele beveiliging bij veel bedrijven nog steeds niet de aandacht krijgt die het verdient, neemt ontvreemding van gevoelige informatie via smartphones en tablets nog steeds toe.
Cybersecuritywet is katalysator
Het is duidelijk dat bij de overgrote meerderheid van de bedrijven het beveiligingsbeleid de stormachtige ontwikkeling van mobiele apparaten en hoe we daar mee werken, niet heeft kunnen bijhouden. De nieuwe securitywet kan daarbij een katalysator zijn. Informatiebeveiligers zullen eindelijk het mandaat krijgen dat ze nodig hebben om ervoor te zorgen dat gevoelige informatie minder makkelijk of zelfs niet buitgemaakt kan worden. En mobiele apparaten zijn de belangrijkste plek om te beginnen. Reactief beleid is nu echt voorbij: het is de hoogste tijd voor een voorspellend model van databeveiliging. Bedrijven kunnen, omdat ze gedwongen worden opener te zijn over informatiediefstal, de handen ineen slaan en van elkaars fouten leren. Door aan te geven wat er is gestolen en hoe dat is gebeurd, kunnen andere bedrijven voorkomen dat zij het slachtoffer worden van eenzelfde manier van informatiediefstal.
En ceo’s kunnen daarbij een leidende rol vervullen. In plaats van keer op keer nieuwe oplossingen aan te schaffen en lekken te dichten, zouden ze hun bedrijf op sleeptouw moeten nemen en een cultuur van informatiebeveiliging moeten kweken. Door samen met hr- en marketingafdelingen hier projecten voor te bedenken en uit te rollen, zullen alle medewerkers beter op de hoogte van de gevaren van slechte informatiebeveiliging zijn. Zij zullen dan ook beter met hun eigen data omgaan. Als mensen weten dat hun mobiele telefoon veel gevoelige informatie bevat, is de kans kleiner dat ze deze zullen verliezen.
Als Reminder een zeker nuttig artikel. Gert-Jan.
Wat mij nauwelijks meer verbaasd, ik heb dat in eerdere reflecties vaker naar voren gebracht;
Als men steeds commerciëler zich richt op sales, maar de meest basale IT/ICT principes veronachtzaamd, althans, de meest basale processen en principes van bouw tot implementatie, deels overslaat, dan komt er een moment dat je heel hard achter de feiten aan gaat lopen.
Security standaard onderdeel van je proces
Security is gewoon een zaak waar je vooraf over na moet hebben gedacht. Al helemaal als men de focus legt op omzet en quick win i.c.m. het verwateren van de basale processen, dan weet je gewoon dat er momenten komen dat er schade zal optreden. Soms gewoon te genant voor woorden.
Gemiste kans overheid, CBP
Het is natuurlijk prachtig dat de politiek aan de kant roept te willen doen aan minder regels en tegelijkertijd een soort dictatuur in regelgeving heeft geïmplementeerd, de plank slaan ze mis bij het gegeven wel iets te roepen over verplicht melden van data lekken en sanctioneren maar overduidelijk het niet in zich hebben iets veel belangrijkers tot stand te brengen.
Namelijk het gegeven dat wanneer de basale principes van beveiliging in proces en software onvoldoende is, dat te sanctioneren. Immers, iedereen kan en mag een vergissing maken. Maar wanneer je professioneel uit winstbejag of domweg pure onwetendheid of incompetentie, weinig tot niets doet aan IT beveiliging van proces en product, moet dat veel eerder geadresseerd worden.
Hoe meer mobiliteit en connectiviteit, hoe groter, heel voorspelbaar, de kans op verlies van…..
Het kan wat dit betreft niet vaak genoeg worden gezegd.
René,
Heeft het ontbreken van de juiste security-functionaliteit niet te maken met het feit dat de verantwoordelijkheid voor het beveiligen van de informatie onjuist (of vaak onduidelijk) is belegd.
Informatiebeveiliging is een aangelegenheid van het (business)lijnmanagement.
En zijn ze zich voldoende bewust van deze verantwoordelijkheid.
Worden ze hier vaak genoeg op gewezen?
De functionals worden goed gebouwd (anders accepteren ze het niet), maar de security non-functionals? In welke mate worden deze gevraagd, getest en geaccepteerd?
@ Mak Tissink
Beste Mark,
Je reactie ‘proves’ ‘een soort van’…. my point. Beveiliging is gewoon een standaard in elk IT/ICT proces en behoord gewoon op het netvlies van elke IT professional te staan als onderdeel van de keten. Het is wat mij betreft het simpel realiseren dat je je volkomen bewust bent dat je met je vak in IT/ICT gewoon met aspecten als beveiligen te maken hebt.
Dat geld voor de systeem beheerder, de programmeur, de netwerkbeheerder, een coördinator in de IT, de project manager, programma manager, iedereen professioneel in de IT werkzaam. Dat dit vaak in de praktijk zo ander is is nu precies wat ik met regelmaat aankaart, en gelukkig ook mensen zoals Gert-Jan hier met deze publicatie.
Wanneer iedereen zich bewust is dat beveiliging integraal deel uit dient te maken van elk IT proces, ze ook die ene stap in een eenvoudig E2E proces dat jij je als IT professional, net zo verantwoordelijk voelt voor het aankaarten van het ontbreken van een dergelijk aspect. En juist dat simpele gevoel van zich verantwoordelijk voelen kom ik in de praktijk, zo jammerlijk, steeds minder tegen.
Hopelijk dat daar in stages en opleidingen en vooral bij recruiters eens meer aandacht aan word besteed.
Een veelvoorkomend misverstand is dat security een onderdeel van elk IT proces is. En ook dat scurity een non-functional is.
Security is een standaard onderdeel van BEDRIJFSVOERING! De best-practices (ISO/NEN) en bijvoorbeeld de VIR 2007 geven dit ook duidelijk aan: onderdeel van Plan Do Check Act (PDCA cyclus).
In onze workshops gaan wij dan ook daar van uit.
@ René. Dank voor je compliment en reactie. Je punt dat er sowieso schade zal optreden als gevolg van menselijke fouten, is erg belangrijk. Als industrie moeten we dan ook samenwerken en open zijn over de beveiligingskwesties waar we mee te maken hebben. Zo kunnen we ervoor zorgen dat het nooit meer gebeurt. Het is een heftig voorbeeld, maar kijk maar naar de vliegtuigindustrie: als een vliegtuig neerstort door hetzelfde defect dat een eerdere crash veroorzaakte, is dat een enorm probleem. Er wordt daarom heel veel informatie onderling gedeeld. Maar als cybercriminelen bij verschillende bedrijven van eenzelfde lek gebruik maken, dan staat niemand daarvan te kijken.
Dankzij de nieuwe meldplicht datalekken komt hier binnenkort verandering in, wanneer bedrijven diefstal van data verplicht moeten melden. Zulke initiatieven zijn een goed iets: we moeten de resultaten van grondig onderzoek naar alle cyberaanvallen delen, niet alleen die met ernstige gevolgen.
En @Mark, ook bedankt voor jouw reactie. Ik vind het goed om te zien dat dit een een discussie teweeg brengt, omdat ik er zelf ook veel over nadenk. Ik ben het met je eens dat het duidelijk moet zijn waar de verantwoordelijkheid ligt. Als we echt vooruitgang op het gebied van cybersecurity willen gaan boeken, denk ik dat er in veel bedrijven een cultuurverandering moet plaatsvinden. Hoe? Ik denk dat CEO’s moeten snappen dat een blanco cheque naar de security officer niet langer voldoende is, al is het maar omdat geld niet oneindig is. Bedrijven zouden in plaats daarvan aan een cultuur van beveiliging moeten bouwen. Daarbij kan de CEO de rol van voortrekker vervullen door samen met security officers en bijvoorbeeld HR- en Marketingafdelingen te bepalen hoe hij of zij zijn of haar medewerkers het beste van deze noodzaak kan doordringen. Op die manier zijn medewerkers er zich bewust van en is het duidelijk wie de verantwoordelijkheid heeft.
@ Norman van Es,
Ik begrijp wat je zegt. Niettemin blijf ik bij mijn stelling dat elke IT professional mede verantwoordelijk is voor een actuele perceptie op veiligheid in welke discipline dan ook. Security is namelijk niet sec een een onderdeel van bedrijfsvoering maar ook die van een goed ingeregeld proces of een product dat je maakt. Immers, heb je geen oog voor beveiligen dan zet je de deur open voor anderen naar gaten en hiaten in hetgeen wat je aan het doen bent te zoeken.
Hier geen oog voor hebben is vragen om schade en problemen. Uiteindelijk gaat security de hele IT keten en de organisatie aan uiteraard. Maar de perceptie moet wat mij betreft gewoon integraal onderdeel uit maken van alles wat een IT professional doet. Lean heeft wat mij betreft in de IT helemaal geen toevoegende waarde. Maar dat is weer vanuit mijn manier van kijken dat elke stap in en met IT voor 100% voorspelbaar is. Lean pas je het liefst niet toe in een operationele omgeving.
Als laatste, lean is niets anders dan de commerciële variatie op het Kai-zen. Misschien dat je daar even nader naar wil kijken. Er is namelijk een groot verschil tussen de westerse benadering van Kai-zen en de oosterse. Kai-zen/lean werkt namelijk niet in de geïndividualiseerde westerse organisatie en al helemaal niet de manier waarop men momenteel met Human Capital om aan het gaan is.
@Gert Jan
In mijn beleven en visie is er sprake van een collectief doel die van hoog tot laag gedragen moet worden. Discussies als deze zijn wat mij betreft overbodig wanneer iedereen begrijpt dat die deel uit maakt van hetzelfde proces tot dat ‘DOEL’ te komen. Dat betekend ook dat je een collectieve verantwoordelijkheid draagt en elkaar daarin constructief wil steunen, gewoon als instelling alleen al.
Blanco check
Een blanco check is helemaal niet eens nodig als een CEO of CIO weet dat iedereen begaan is met dat doel en ook als vanzelfsprekend zaken als verder kijken dan je professionele disciplinaire focus, dus ook oog voor security een standaard deel van jezelf als professional uit maakt.
Op die manier draag je elkaar op gemeenschappelijk vlak wat volgens mij security is. Roepen dat security toch vooral een zaak van een ander of andere discipline is vind ik dan weer een beetje jammer. IT is namelijk een collectieve zaak en niet sec een individuele.
My 5bit :O)
Ik constateer twee zaken die je belicht: Het gebruik van mobiele apparaten voor bedrijfsdoeleinden is risicovol en de nieuwe meldplicht zal dat meer inzichtelijk gaan maken. Maar je betoog dat CEOs in plaats van in techniek in bewustwording van medewerkers moet investeren volg ik niet.
Waarom? Een paar reacties:
Zitten er risico’s aan (technische?) mobiele beveiliging? Pleit je voor security awareness bij iedereen? Of vraag je om actie van CEOs? Of juist van Informatiebeveiligers? Al deze aspecten staan genoemd, in een context van een nieuwe Europese wet én de nieuwe meldplicht datalekken. Deze argumenten geven gezamenlijk echter geen duidelijke oplossingsrichting aan.
Een wet zal informatiebeveiligers geen mandaat geven. Boetes aan bedrijven resulterend uit het breken van de wet wel. Daar is het nu dus op wachten. We blijven op dat punt dus nog steeds reactief.
Ik ken geen security officer die een blanco cheque gehad heeft van zijn CEO, en dat is ook niet wenselijk. De aandacht voor security moet evenredig verdeeld zijn over alle partijen en kunnen concurreren met andere aandachtspunten van het bedrijf. Investeringen in mensen, processen en technologie moeten in balans zijn. Er hoort zeker geen eenzijdige focus te zijn op één van deze aspecten.
Ik ben het helemaal met je eens dat uit meldingen van lekken een transparantie gaat volgen. Dit vergt dat alle partijen een goede invulling doen en écht goed melden. Ik verwacht nog steeds verdraaiingen en terughoudendheid, waardoor het meer tijd en moeite zal vergen voordat de meldplicht echt gaat werken.