Het is maar de vraag in hoeveel van de gevallen van lekken de IT-
managers zelf geen enkele blaam treft. Immers is de informatie beveiliging
in eerste instantie hun verantwoordelijkheid.

Ook kun je je afvragen of de informatie uberhaupt op straat had kunnen
belanden met de juiste preventieve maatregelen, en daarnaast of de
informatie voldoende met technische middelen werd afgeschermd (i.e.
laptops, usb sticks e.d.).

Pleiten deze managers er trouwens ook voor om zelf direct op staande
voet te worden ontslagen indien er informatie naar buiten lekt ten
gevolgde van een gat in de IT beveiliging, i.e. wanneer het netwerk van
buitenaf wordt gehacked ?

"Ondanks de blunder van de Belastingdienst, waardoor de gegevens van
25 miljoen Britten op straat belandde, is men niet van plan om de IT-
uitgaven te wijzigen, zo blijkt uit onderzoek van Check Point."

Beetje kromme redentatie. De IT-uitgaven van een bedrijf moeten
worden gewijzigd, omdat de belastingdienst in Engeland een fout heeft
gemaakt. Probeer zo'n redenatie maar een uit te leggen wanneer je als
IT-manager om meer budget vraagt.

Meestal moet je een NDA ondertekenen. Het lekken van informatie is dan in strijd met deze NDA. Reden genoeg voor ontslag lijkt me.

Als je als bedrijf geen versleutelingsmogelijkheden biedt kun je niet de
werknemer de schuld geven.

De manager is toch verantwoordelijk?

"Meestal moet je een NDA ondertekenen. Het lekken van informatie is
dan in strijd met deze NDA. Reden genoeg voor ontslag lijkt me."

Natuurlijk klopt dat, maar is dat alles waar naar gekeken moet worden, of
moet je ook naar het IT-beveiligingsbeleid kijken ? Immers kan je met zo'n
NDA alleen achteraf optreden, voorkomen lijkt me beter dan genezen....

Indien je kunt voorkomen dat mensen de deur uit lopen met
(confidential) informatie, of wanneer je kunt zorgen dat data indien deze
de deur uit moet degelijk is beveligd dan lijkt me dat toch wel handig.

Daarnaast gaat het dikwijls niet om opzet, en dan is het NDA niet relevant.

"Als je als bedrijf geen versleutelingsmogelijkheden biedt kun je niet de
werknemer de schuld geven."

Da's een beetje kort door de bocht, dat zou dus inhouden dat wanneer
ik met de klanten database op mijn laptop naar buiten loop op mijn werk,
en vervolgens deze laptop op de bushalte laat liggen, er mij niets te
verwijten valt wanneer er geen sprake is van encryptie ?

Bedrijven waar de IT manager ook verantwoordelijk is voor
informatiebeveiliging hebben het toch echt niet begrepen...

De realiteit is dat managers zichzelf vaak enkel politiek
indekken. Dat ziet men als voldoende bescherming waarbij de
organisatie zelf vaak aan haar lot wordt overgelaten.
Security incidenten zijn namelijk nog steeds geen onderdeel
van het functioneringsgesprek met managers. Wie bovendien
daadwerkelijk iets aan security wil doen moet eerst de
noodzaak hiervan aantonen in een organisatie. Waarbij
security veelal wordt gezien als een lastig en
produktiviteitshinderend onderwerp. Hierdoor komen
bedrijfsspionen en andere kwaadwillende personen 99 van de
100 keer weg met allerlei zaken. Het heeft geen prioriteit
en wat men niet weet hoeft men niet te managen.

De realiteit is dat er duidelijke regelgeving nodig is met
sancties anders doet het bedrijfsleven niets. Waarbij de
nadruk niet moet liggen op dikke rapporten van van
boekhouders en boekjes met regeltjes opgesteld door
accountants die van de onderliggende technologie geen donder
snappen. Procedures zijn leuk maar 9 van de 10 keer niet
effectief tegen een goedgeinformeerde insider die weet waar
die me bezig is. De harde waarheid is dat zelfs de
gerenomeerde namen die zich met ICT beveiligingbezig houden
vaak de ballen verstand hebben van spionage activiteiten als
fenomeen op zich. Wie zich enigzins verdiept in de gebruikte
technieken en tactieken ziet al snel waarom een papieren
tijger zoals opgesteld door een club accountants in de
praktijk geen kans van slagen heeft.