Door een aantal grote security-incidenten, vooral in de bancaire sector de laatste tijd, lijkt de besluitvorming over IT-security versneld naar de boardroom te verschuiven. Reputatieschade door negatieve media-aandacht kan immers groot zijn. Daarnaast speelt ook compliance een belangrijke rol, omdat er steeds meer met vertrouwelijke klantgegevens wordt gewerkt. Ik denk daarom dat er in een moderne boardroom zowel een CIO als CISO hoort te zitten.
Over deze blogger
Jeannine Peek is sinds november 2011 directeur van Dell Nederland. In deze functie is zij eindverantwoordelijk voor de gehele Nederlandse Dell-organisatie. Voor de overstap naar Dell was zij verantwoordelijk voor de fusie tussen uitzendbureaus Content en Unique die zij als directeur begeleidde. Daarvoor was Jeannine werkzaam in verschillende sales-functies bij Dell, Worldcom en KPN. Naast haar werk voor Dell is zij voorzitter van ICT Milieu.
Jeannine studeerde technische bedrijfskunde met als afstudeerrichting informatiekunde aan de Universiteit Twente.
Recente veiligheidslekken in de financiële wereld hebben veel bedrijven bewuster gemaakt van de beveiligingsrisico’s die ze lopen. Dit soort incidenten hoop je als bedrijf nooit mee te maken, laat staan dat ze breed worden uitgemeten in de media. Een voordeel is wel dat cyber security hierdoor meer op de agenda van de boardroom is gekomen. Je kunt je echter afvragen of een grote inbraak en al die negatieve media-aandacht noodzakelijk zijn om tot dit inzicht te komen. Ik ben bang dat een dergelijke grote crisis bij veel bedrijven toch nodig is. Het uitblijven van een beveiligingslek is geen bewijs van een goede beveiliging. Het is onmogelijk om een IT-infrastructuur perfect en permanent te beveiligen. Je moet daar continu mee bezig zijn, want hackers zijn doorlopend op zoek naar nieuwe ingangen. En wat te denken van medewerkers binnen de eigen organisatie die bewust of onbewust de poort openzetten voor indringers? Die ‘menselijke factor’ zou ook onderdeel moeten zijn van de security-strategie.
Dringende redenen
Praten over beveiliging is een ding, maar een cyber-aanval met grote financiële gevolgen verbindt er een prijskaartje aan. Dit is meestal het moment dat over security serieus op het niveau van de boardroom wordt gesproken en er concreet actie wordt genomen. Maar toch zie ik wel een lichtpuntje, ook bij bedrijven die nog geen cyber-aanval hebben doorstaan. De laatste jaren is mij de snelle opkomst van de chief information security officer (CISO) in de boardroom opgevallen. Die rol werd eerder, net als die van de chief information officer (CIO) nog maar nauwelijks serieus genomen op C-level. Ondanks het feit dat de CIO lang onder de boardroom heeft gezeten, praat de CISO tegenwoordig wel al op dat niveau mee. Naast het feit dat de CIO natuurlijk ook op dit niveau hoort mee te praten, lijkt me dat een heel goede ontwikkeling.
Beveiliging op gebruikersniveau
Ook al ben ik van oorsprong een techneut, één ding is volgens mij helder: er is in het bedrijfsleven steeds meer behoefte aan beveiliging op gebruikersniveau. Bij Dell bijvoorbeeld worden jaarlijks standaard security- en compliance-trainingen gegeven. Deze trainingen worden continu aan de actualiteit aangepast, omdat er steeds weer nieuwe beveiligingsrisico’s bij komen. Vroeger mocht je geen dossiers mee naar huis nemen, omdat je ze wellicht in de trein kon laten liggen. Tegenwoordig ben je als werknemer een doelwit voor hackers om het bedrijfsnetwerk binnen te dringen. Naast technische beveiligingstechnieken als encryptie is er daardoor een heel nieuw beveiligingslek ontstaan in de vorm van de werknemer. Dit vereist een geïntegreerde aanpak voor beveiliging, waarbij alle informatie-uitwisseling binnen de organisatie gemonitord en geanalyseerd moet worden. Het hele proces moet tot op device-niveau helder en veilig zijn. Dell gebruikt intern dezelfde security-technologie die we onze klanten aanbevelen. ‘Drink your own champagne’, in de woorden van onze eigen CISO. Op die manier houden we hackers buiten de poort, maar daarnaast schakelen we ook proactief ethische hackers in om onze beveiliging te testen. Dat is de beste manier om maximaal grip te houden op de beveiliging van je organisatie.
