Wanneer nemen grote bedrijven security serieus?
Dankzij draadloze netwerken kun je vandaag de dag bijna overal genieten van internet. Veel restaurants, lunchrooms, cafés en bars laten hun gasten ongestoord via het lokale Wi-Fi netwerk internetten. Matthew Tanase keek laatst vreemd op toen hij in zijn favoriete lunchroom opeens geen verbinding meer had. De eigenaar bleek een authenticatie systeem te hebben geimplementeerd. Om te kunnen internetten moesten klanten een willekeurig gegenereerd wachtwoord bij de eigenaar halen. Verschillende mensen hadden de verbinding van de luchroom voor allerlei kwaadaardige doeleinden gebruikt, waarop de eigenaar besloot actie te ondernemen.
Voor een klein bedrijf is het implementeren van dit soort oplossingen een aanslag op de middelen. Het is dan ook vreemd dat grote organisaties, die vaak oneindige middelen hebben, er maar niet in slagen om hun beveiliging op orde te krijgen. Zo was er de zaak met ChoicePoint, waarbij oplichters de gegevens van duizenden Amerikanen wisten te bemachtigen. De volgende grote onderneming die een "slippertje" maakte was de Bank of Amerika, die tapes met de gegevens van 1,2 miljoen mensen was kwijtgeraakt. Een andere gigant die vanwege lakse security maatregelen het nieuws wist te halen was T-Mobile. Elk van deze bedrijven heeft de verplichting om onze informatie te beschermen zolang het in hun bezit is, maar teveel bedrijven lijkt dit niet te lukken. Tanase vraagt zich in deze column dan ook af wanneer grote ondernemingen security eens serieus nemen.
Wanneer nemen grote bedrijven security serieus? Antwoord:
nooit.
Jouw reactie, net zoals de titel suggereerd, is
generaliserend van aard.
Nieuws is enkel nieuws wanneer het afwijkt van de standaard
verwachting.
M.a.w. daar waar het goed gaat hoor je niets over.
Wanneer nemen grote bedrijven security serieus? Antwoord:
nooit.
Jouw reactie, net zoals de titel suggereerd, is
generaliserend van aard.
Nieuws is enkel nieuws wanneer het afwijkt van de standaard
verwachting.
M.a.w. daar waar het goed gaat hoor je niets over.
Mischien waar, maar zeldzaam. Het trieste is dat grote
maatschapijen en ministeries een broertje dood hebben aan
beveiligingsmaatregelen. Men komt bijna nooit verder dan "we
hebben toch een firewall ?
Indien het uitloopt om wat voor reden dan, wordt de security gekort. En
security maakt een project moeilijker. Dat is het laatste wat een project
leider wilt.
Security = moeilijker = duurder = meer tijd. Dat is de manier van denken
van 90% van de project leiders.
Security is bijna altijd een sluitpost in een project.
Indien het uitloopt om wat voor reden dan, wordt de security gekort. En
security maakt een project moeilijker. Dat is het laatste wat een project
leider wilt.
Security = moeilijker = duurder = meer tijd. Dat is de manier van denken
van 90% van de project leiders.
Vrees dat je gelijk hebt.
bij het inzetten van middelen (geld, tijd van personeel,
etcetera) voor het afdekken van bedrijfsrisico's. Risico's
op het gebied van de IT vallen daar ook onder.
Problemen, zoals de in het artikel genoemde voorbeelden,
komen voor omdat het bedrijf in kwestie het risico niet, of
niet goed, heeft ingeschat. Dan wel dat het risico bewust
gelopen is. Sommige risico's, zoals het verliezen van een
tape (menselijke fouten), zijn erg moeilijk af te vangen, of
het afvangen ervan wordt erg kostbaar gezien het risico dat
het afdekt.
De complexiteit van IT , en met name de beveiliging ervan,
is veelal de oorzaak dat IT-risicomanagement nog niet bij
elk bedrijf de juiste plek in de organisatie heeft gevonden.
De huidige risicomanagers zijn voornamelijk gespecialiseerd
in het onderkennen van risico's in het primaire proces. Tot
de tijd dat zij sensitief worden voor IT risico's, zullen ze
het moeten managen met behulp van interne specialisten, of
door het inhuren van bedrijven die dit samen met hen kunnen
doen.
Indien er een goede balans gevonden wordt tussen de risico's
die afgedekt worden met "controls" en de bewust te lopen
risico's, krijgen bedrijven grip op de IT(-beveiliging). Zo
niet, dan is het nog vallen en opstaan en loop het bedrijf
de kans ongewenst in het nieuws te komen.
Elk bedrijf, zo ook grote bedrijven, zal een afweging maken
bij het inzetten van middelen (geld, tijd van personeel,
etcetera) voor het afdekken van bedrijfsrisico's. Risico's
op het gebied van de IT vallen daar ook onder.
Problemen, zoals de in het artikel genoemde voorbeelden,
komen voor omdat het bedrijf in kwestie het risico niet, of
niet goed, heeft ingeschat. Dan wel dat het risico bewust
gelopen is. Sommige risico's, zoals het verliezen van een
tape (menselijke fouten), zijn erg moeilijk af te vangen, of
het afvangen ervan wordt erg kostbaar gezien het risico dat
het afdekt.
De complexiteit van IT , en met name de beveiliging ervan,
is veelal de oorzaak dat IT-risicomanagement nog niet bij
elk bedrijf de juiste plek in de organisatie heeft gevonden.
De huidige risicomanagers zijn voornamelijk gespecialiseerd
in het onderkennen van risico's in het primaire proces. Tot
de tijd dat zij sensitief worden voor IT risico's, zullen ze
het moeten managen met behulp van interne specialisten, of
door het inhuren van bedrijven die dit samen met hen kunnen
doen.
Indien er een goede balans gevonden wordt tussen de risico's
die afgedekt worden met "controls" en de bewust te lopen
risico's, krijgen bedrijven grip op de IT(-beveiliging). Zo
niet, dan is het nog vallen en opstaan en loop het bedrijf
de kans ongewenst in het nieuws te komen.
baten moet afwegen?
Security = moeilijker = duurder = meer tijd. Dat is de manier van denken
van 90% van de project leiders.
schroeven. Dan is het lastig, moeilijk en uiteindelijk duur. Als je bij een
project direct rekening houdt met security valt het allemaal wel mee. Maar
dat besef is er (nog) niet helemaal.
ervan de omzet ernstig bedreigt.
Dus, als ik het wel heb, zeg je dat men de kosten tegen de
baten moet afwegen?
Ik zou dat zeker doen. Sommige risico's ben je bereid te
nemen omdat ze erg klein zijn en/of de kosten voor het
afdekken erg hoog zijn. Dat neemt niet weg dat je een
"draaiboek" kunt voorbereiden voor het geval dat het risico
toeslaat. Het draaiboek bevat technische en organisatorische
maatregelen. Het is ook handig een hoofdstuk communicatie
(zowel intern als extern) toe te voegen. Dat helpt verdere
schade aan bijvoorbeeld het imago van het bedrijf te voorkomen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
