Beveiliging is niet het meest geliefde topic op managementmeetings. De vraag is meestal: kunnen we gezien de meest recente risicobeoordeling het beperkte budget voor beveiligingsinvesteringen rechtvaardigen? Maar wat als ik u zou vertellen dat die beoordelingen meestal gebaseerd zijn op volledig verkeerde veronderstellingen en onjuiste gegevens?
Een tijdje geleden schreef ik over de noodzaak om beveiliging grondig opnieuw uit te vinden. De belangrijkste conclusie van dat stuk kan misschien in het verkeerde keelgat schieten bij het management. Ik impliceer dat een proactieve benadering de reactieve niet zou mogen vervangen, maar een aanvulling moet zijn. Dit vraagt uiteraard extra budget, een vraag die meestal niet zo gewenst is, zeker als die van de beveiligingsafdeling komt.
Wanneer het budget gemaakt wordt, wordt er zelden eerst geld opzij gezet voor informatiebeveiliging. Dat komt meestal pas tegen het einde, als alle andere verzoeken ingewilligd zijn en één slimmerik in de kamer erop wijst dat ze beveiliging niet mogen vergeten. Daarna volgt een nieuwe uitdaging: net genoeg geld uitgeven zodat iedereen zich goed voelt over de staat van de beveiliging, niet meer, niet minder. Een nogal bedrieglijk gevoel in de meeste gevallen, maar de pijnlijke waarheid voor veel organisaties.
Toegegeven: in veel bestuurskamers heeft beveiliging ondertussen eindelijk de lijst met topprioriteiten bereikt, maar helaas nog niet de lijst van prioritaire investeringen. Heel vaak is dat te wijten aan een volledig verkeerde risicobeoordeling, die op lange termijn tot tragedies kan leiden.
Risicobeoordeling
Het management begrijpt de risico’s tot op zekere hoogte. Bij nieuwe projecten is het namelijk gebruikelijk om een risicobeoordeling te doen. Het grootste probleem is echter dat die beoordelingen gebaseerd zijn op onjuiste gegevens. Laat ons ervan uitgaan dat alle bekende inbreuken bij andere bedrijven en de daarbij horende gevolgen worden meegenomen in de berekening van het risico. Dan vergeten we het voor de hand liggende nog altijd: veel bedrijven delen niet dat ze iets hebben meegemaakt, of minimaliseren de schade.
Bijgevolg is de conclusie maar al te vaak: het risico is te laag om enorme investeringen te rechtvaardigen. Een conclusie die niet alleen verkeerd is omdat ze gebaseerd is op verkeerde informatie. Ze begint ook met de verkeerde veronderstelling. De vraag moet namelijk niet zijn hoe waarschijnlijk het is dat er iets gebeurt. De vraag moet zijn: ‘Hoelang duurt het vooraleer er iets gebeurt?’.
Bovendien kijken bedrijven vaak naar individuele risico’s, in een wereld waar alles geconnecteerd is. Eén individueel risico dat klein lijkt, zou de volgende doos van Pandora kunnen worden als het een echte aanval wordt.
Natuurlijk kan je niet elke aanval voorkomen. En natuurlijk kan geen enkele organisatie het zich veroorloven om enorme percentages van hun budget uit te geven om de infrastructuur volledig risicobestendig te maken. Maar ik heb het heus niet over geavanceerde gerichte aanvallen of hyper-ingewikkelde scenario’s die af en toe gebeuren.
Bedrijven zouden op zijn minst kunnen beginnen met het voor de hand liggende, zoals het op tijd uitvoeren van patches. Als er één ding is wat WannaCry ons heeft geleerd, is het wel dat. Geen enkel bedrijf had moeten lijden door die ransomware, als ze de beschikbare patches tijdig hadden toegepast. Op de een of de andere manier zijn bedrijven erin geslaagd die updates te blokkeren. Ik vraag me af hoe zo’n manier van werken een kwalitatieve of kwantitatieve risicobeoordeling heeft doorstaan: de kosten van patches zijn laag in vergelijking met de ravage die een succesvolle aanval kan veroorzaken.
WannaCry en GDPR
De queeste naar een veiligere ict-omgeving is inderdaad bijna net zo moeilijk als die naar de Heilige Graal. Maar dat betekent niet dat we het moeten opgeven of onze inspanningen moeten verminderen. Bij elk nieuw serieus veiligheidsincident, met WannaCry als meest recente voor de hand liggende voorbeeld, kan de beveiligingsmedewerker boze blikken krijgen. Maar als u het goed speelt, kan dit incident ook in uw voordeel spelen bij de volgende risicobeoordeling.
De door GDPR afgedwongen meldingsplicht kan ook een bondgenoot zijn bij het vragen van de broodnodige managementondersteuning voor beveiligingsinvesteringen. Hoe meer incidenten worden blootgelegd, hoe meer organisaties zullen begrijpen dat het risico veel hoger is dan dat ze dachten toen ze het vorige beveiligingsbudget maakten.
Als IT professional heb ik vanaf de begintijd geleerd wat Automatiseren is, waar het om gaat, hoe je dat het beste doet. Daarbij heb ik het geluk gehad van verschillende experts in mijn begin tijd kennis en ervaring op te hebben mogen doen wat heeft geleid uiteindelijk wat ik vandaag de dag ken.
Veiligheid/security begint bij de IT professional. Die zal de klant, gebruik(st)er, stakeholder, uit moeten leggen wat automatiseren is. Let op, automatiseren, niet IT. Omdat IT alles te maken heeft met automatiseren, zit daar de grootste beknelling die leid tot tal van ongewenste zaken waaronder ook de enorme open deur die IT professionals en commercie de crimineel, hacker, bedrijfsspion heeft gegeven.
En wat doen IT professionals? In plaats van de deur stevig dicht te doen, in de eerste plaats, gaat men dingen roepen dat de deur de verkeerde kleur heeft, dat het beslag van een verkeerde soort is, dat het slot wel heel erg ouderwets is en allang had moeten zijn vervangen. Niemand die er klaarblijkelijk op komt eerst en gewoon de deur dicht te doen en desnoods met eenvoudige middelen te baricaderen.
Er is een gemene deler in Digitale Automatisering (DA) en IT. En tot mijn stijgende verbijstering zijn er steeds minder IT professionals die hiervan weten laat staan dat zij deze door kunnen geven aan hun klant, de stakeholder, manager, gebruik(st)er of de boardroom. Neen, stelselmatig wandeld men van de ene in de andere ‘visie’ maar kijkt voorts niet naar de materie, de universele principes, en vooral, wat was nu ook alweer het uitgangspunt van automatiseren.
DA/IT 100% voorspelbare materie
Gaat men een eenvoudige risico analyse doen die gebaseerd is op wat er is in combinatie met hoe de stakeholder, klant, CEO, CIO, CFO, management daar tegen aankijkt, komt men tot een zeer eenvoudige slotsom. Dat de IT professional klaarblijkelijk, na meer dan dertig jaar DA nog steeds niet in staat is eenduidig aan de andere wereld over te brengen wat DA is, hoe die zich beweegt, hoe daarmee om te gaan en … raar maar waar, dat er maar éé eenvoudig doel is en word gedient met DA en IT.
Dat noem ik dan nog eens het grootste risico ….