Investeren bedrijven in cybersecurity, dan investeren ze in beveiliging en bescherming . Andere onderdelen blijven buiten beschouwing en ongeadresseerd. Het budget voor it-security moet in balans, want alleen door alle aspecten te benoemen, creëer je een sterk en gezond digitaal werkklimaat.
It-security is een hot topic en daar is alle reden toe. Wekelijks zijn er grote datalekken te melden die veel aandacht krijgen in de pers. Cybercriminelen worden gewiekster en actiever. En ook het verhoor van Marc Zuckerberg bij de senaat staat ons nog scherp op het netvlies. Het is duidelijk dat er binnen de it-wereld te lang te makkelijk is gedacht over databeveiliging. Applicaties werden gebouwd zonder dat we de veiligheidsaspecten ervan goed voor ogen hadden. En op het gebied van datasecurity ging de aandacht vooral naar de firewall en toegang tot het netwerk. Waren de hackers eenmaal binnen, konden ze nogal eens bijzonder lang ongestoord hun gang gaan.
Onder de loep
Bedrijven zijn zich tegenwoordig meer bewust van de gevolgen en nemen daarom de security serieuzer onder de loep. Bij veel ondernemingen staat security eindelijk bovenaan de actielijst van de it-manager. Toch vallen bedrijven in de praktijk vaak in oude patronen. Beschermen van het netwerk en data staan voorop. Andere onderdelen, zoals het beperken van de schade na een hack of het trainen van de digitale weerbaarheid van medewerkers, krijgen nog steeds te weinig aandacht.
Dat budgetten vooral naar technologie voor bescherming gaat, is te begrijpen. Je denkt liever niet na over schadebeperking. En van digitale weerbaarheid kan je stellen dat ze lastig te meten is. Toch zijn beide onderdelen minstens zo belangrijk voor een gezonde it-omgeving. Risico’s zijn onverantwoord als de downtime van een organisatie voor desastreuze kosten zorgen. En wat heb je aan een dichtgetimmerd netwerk als je eigen medewerkers op phishingmail klikken?
WannaCry
De schadelijke effecten van de slechte balans van het securitybudget kwam aan het licht tijdens de WannaCry-aanvallen die vorig jaar de wereld teisterden. Data van onder andere ziekenhuizen werden op slot gezet en konden niet meer worden teruggehaald. Dat had niet zo ernstig hoeven zijn als die organisaties hadden geïnvesteerd in disaster recovery. Met name overheidsinstellingen mogen kritischer het securitybudget verdelen. Het duurt soms dagen eer een instelling alle data heeft hersteld wanneer een hack heeft plaatsgevonden. Dat is onnodig en kan echt niet als je serieus werk wilt maken van de digitale overheid en de 24/7-dienstverlening die daarbij komt kijken.
Het it-securitybudget moet weer in balans, alleen dan heb je een gezonde it-omgeving.