Elke werkdag behandelt Computable een onderwerp waarover lezers kunnen discussiëren. Vandaag over het niet serieus nemen van ict-security.
Veel bedrijven en organisaties zeggen ict hoog in het vaandel te hebben staan, voor hun dagelijkse business en voor hun noodzakelijke innovatie. Natuurlijk is security van die ict dan ook belangrijk. Maar dit zijn helaas maar al te vaak slechts woorden. Daden ontbreken nogal eens. Waarom worden er namelijk wel brandoefeningen compleet met kantoorontruimingen gedaan, maar geen drills voor ict-security?
Filmbedrijf Sony Pictures wist zich na de diepgaande hack te verdedigen met de stelling dat er geen draaiboeken zijn voor dit soort ict-securityrampen. Tsja, als je zo’n scenario niet opschrijft, is er allicht geen draaiboek voor. En als je niet oefent, ben je inderdaad niet goed voorbereid. Het oh zo belangrijke ict heeft simpelweg securitydrills nodig, hard nodig. Wat vind jij?
“Waarom worden er namelijk wel brandoefeningen compleet met kantoorontruimingen gedaan, maar geen drills voor ict-security?”
Omdat kantoorontruimingen wettelijk verplicht zijn, maar die oefening is vaak ook alleen maar om compliant te zijn. Als we it-security drills zo zouden doen dan oogt het leuk, maar is het een wassen neus.
Steeds meer bedrijven doen er wel wat aan; penetratie testen, audits, the works. Maar vaak geldt dat als men werkelijk een behoorlijk incident heeft meegemaakt voelt men pas wat waarom het zo nodig is.
Wat Henri zegt. Daarnaast was de security by Sony sowieso erbarmelijk, voornamelijk omdat ze het een ‘acceptabel risico’ vonden. Tja, als je het acceptabel vindt dan gaat een draaiboek je ook niet helpen.
Hoe zou zo’n securitydrill eruit zien? Zou dat een penetration test zijn of meer in de trend “wat te doen als je gehackt bent” ? In het eerste geval is het vrij moeilijk hier een ‘draaiboek’ voor te maken, gezien dit in tegenstelling tot brand een continu ontwikkelend gebied is.
Volgens mij begint security al bij document-en informatiebeveiliging.
Wat je als IT-er ook doet, de belangrijkste factor is nog steeds de mens, uw medewerker. Dus ja, ik geloof dat het vooral aan training en bewustwording ontbreekt. Een simpel voorbeeld: Onderzoek wijst aan dat bedrijfskritische informatie vaak weglekt via e-mail. En waar scannen wij allemaal naar toe? Precies: Scan-to-email! Gewoon een voorbeeld om aan te geven dat het vaak al aan de basis misgaat en we bij simpele bedrijfsprocessen grote stappen kunnen maken om informatie beter te beveiligen.
Als je een paar jaar ervaring in een produktie-omgeving hebt, zul je het wel hebben meegemaakt: na een security incident is er opeens budget en aandacht om dat ene incident weg te poetsen. En daarna ebt de aandacht weg… Op deze manier is security vreselijk duur.
Een manier om security op een goed nivo te hebben en tegelijkertijd niet te kostbaar is om het voor ieder project en bij iedere wijziging voor de systemen van het begin af aan mee te nemen. Een architect van een gebouw doet het en een autofabrikant doet het. Zij zijn niet alleen wettelijk verplicht om een veilig produkt op te leveren maar zijn er aan gewend om altijd bij alles ook aan de veiligheid te denken. Er is een cultuuromslag nodig bij alle betrokkenen om veiligheid in de informatica op orde te krijgen.
Een wettelijke verplichting om veilige systemen te hebben zou wellicht kunnen helpen. Eigenlijk voel ik er weinig voor om dit in de wet te regelen, maar het positieve effect zou kunnen zijn dat het benodigde budget makkelijker vrijkomt.
Zoals altijd is de insteek wederom polderend.Hier spelen een aantal factoren die key zijn.
dat een disastervrecivery olan ( welke systemen moeten er worden terug gezet en in welek volgorde aka een disaster recovery plan ) mag niet ontbreken bij een gezonde organisatie. Maar een breach , een advandced persitent threat of een zero day exploit is een ander verhaal .Als je ziet dat de bedrijven gemiddeld 272 uur per week kwijt zijn met het najagen van valse meldingen op het gebied van intrusion protection en dat dit bedrijven 500.000 pond per jaar kost vraag ik mij af of een security drill onder die omstandigheden iets opleverd..