Alleen wetgeving kan computerbeveiliging verkopen
Pas als er bij de buren of henzelf is ingebroken besluiten de meeste mensen een inbraakalarm aan te schaffen, en dat geldt ook voor bedrijven en gebruikers die hun systemen beveiligen. Zeker in het bedrijfsleven wordt menig beveiligingsplan uitgesteld, en zolang men in de tussentijd niet wordt getroffen, heeft men flink wat geld bespaard. En ook al wordt men getroffen, het gaat aan de meeste bestuurders en directeuren voorbij.
Om beveiliging te verkopen hanteren beveiligingsbedrijven twee strategieën, namelijk angst en hebzucht. Ze proberen ondernemingen bang te maken voor allerlei dreigingen, maar zodra die niet door de bedrijfstop gevoeld worden, zullen die daar ook geen geld voor overhebben. De andere strategie is het pretenderen dat het hebben van security een meerwaarde heeft, het iets oplevert. Ook dit werkt niet.
Zolang de bedrijfstop de "pijn" van cyberaanvallen niet voelt, krijgen IT'ers geen meer budget. Dankzij wetgeving is dat een ander verhaal, want nu snapt zelfs de directeur dat het in orde moet zijn. Dankzij Sarabanes-Oxley is er bijvoorbeeld in de VS veel meer security verkocht. "Wetgeving kan dan ook als een stok worden gezien om meer budget te voor IT-security te krijgen, en vaak met succes", zo liet Bruce Schneier vorige week weten. De stelling van deze week luidt derhalve: Alleen wetgeving kan computerbeveiliging verkopen
angst- of hebzucht-campagne geweest. Hoewel wetgeving
(dreigen met straf) natuurlijk ook een angst-gedreven idee
is ;-]
Vraag is alleen: Hoe gaat de wetgeving eruitzien? In WCC-I
hadden we ten minste nog 'enige beveiliging', in WCC-II is
dat alweer weggegooid. Moet WCC-III dan maar rule-based vol
met pietlut-regeltjes? Als managers erom vragen, kunnen ze
het krijgen, zucht.
iets doen als men gestraft wordt als men iets niet doet....
De mens is van nature lui....
En dan hebben wij in onze branche nog geluk: twee soorten pakkans: de
bestuurdersaansprakelijkheid (leve SOx?) en het risico van
incidenten/calamiteiten.
informatiebeveiliging af te dekken, zodat de bestuurder kan
zeggen dat hij/zij zich aan de wet houdt. Dat blijft dus een
papieren exercitie die geen enkele verbetering levert aan
het beveiligingsniveau.
Wat voornamelijk helpt is vlak voor het vaststellen van de
budgetten voor de komende periode een sappig
beveiligingsincident bij een concurrent. Als wetgeving zou
helpen, zou het wetgeving moeten zijn die bedrijven dwingt
om beveiligingsincidenten publiek te maken, zoals
bijvoorbeeld in Californië het geval is. Daar is een bedrijf
verplicht melding te doen aan de slachtoffers van
security-incidenten. Alhoewel je daarbij ook moet oppassen
voor overexposure.
maar is op zich niet voldoende. Het gevoel dat wanneer het fout gaat dat
het weleens jouw hoofd kan zijn dat rolt, is een veel grotere drijfveer. Het
feit dat de keten er naar vraagt kan ook helpen. Enne, hoewel lastig, erop
blijven hameren dat de Business zelf verantwoordelijk is en dat IT alleen
faciliteert en dus vooral niet zelf gaan bouwen.
Zucht, dit was ruim 20 jaar geleden al zo, maar blijkbaar wil men niet leren.
meerwaarde heeft, het iets oplevert. Ook dit werkt niet. Alleen
wetgeving kan computerbeveiliging verkopen."
Of bijvoorbeeld voorwaarden voor verzekeringspolissen, of de marketing
waarde van de genomen maatregelen richting klanten.
Security op zich is, zonder dergelijke meerwaarden, geen doelstelling op
zich voor het management van een bedrijf, maar maken deel uit van de
bedrijfskosten en daarbij gaat men uit van een kosten/baten analyse.
Wanneer de (verwachte) directe en indirecte kosten van het niet nemen
van maatregelen lager liggen dan de kosten van de te nemen
beveiligingsmaatregelen, dan is het dus begrijpelijk dat men ook de optie
overweegt om de maatregelen niet te nemen of vooruit te schuiven (ook
al vind ik dat als beveiligingsspecialist niet leuk).
Ook kun je je afvragen of sommige beveiligingsmaatregelen wettelijk
verplicht gesteld kunnen en moeten worden zolang er geen belangen van
derden op het spel staan. Wanneer een ondernemer ervoor kiest risico te
lopen is het zijn eigen zaak, wanneer hij echter ook rekening moet
houden met privacygevoelige informatie en andere belangen van derden,
dan is het een ander verhaal.
prescriptieve en repressieve wetgeving.
Beide zijn nodig: prescriptieve geeft aan wat men geregeld
moet hebben (anders volgt straf) om incidenten te voorkomen
-- incidenten zijn symptomen dat men het niet geregeld
heeft; repressieve maakt als een bezemwagen al het overige
wat ethisch/moreel of hoe je het noemen wilt, strafbaar en
denkt dus ook incidenten die 'toch nog' optreden of niet in
de regels gevangen waren (voortschrijdend vakgebied v.v.
achterlopende wetgeving).
Een incident bij de buren is inderdaad 'goed', om te wijzen
hoe 'nabij' het risico (angst) op straf wel is. Zie ook:
mobiele flitspaaltjes.
Maar 'we' hebben nog geen maat voor hoe goed we bezig zijn;
misschien moet 'de' IT-wereld dat maar eens gaan ontwikkelen ..?
informatiebeveiliging af te dekken, zodat de bestuurder kan
zeggen dat hij/zij zich aan de wet houdt. Dat blijft dus een
papieren exercitie die geen enkele verbetering levert aan
het beveiligingsniveau."
Die aanname gaat enkel op wanneer er geen controle wordt uitgevoerd
om te kijken of hetgeen wat wettelijk verplicht wordt gesteld ook
daadwerkelijk wordt uitgevoerd.
Als je kijkt naar zaken als SOX-compliancy, dan zie je dat wanneer dit goed
wordt doorgevoerd, deze regels wel degelijk directe impact hebben op
het beveiligingsniveau (SOX = Sarbanes Oxley Act).
Al wil een stempel "compliant" nog niet zeggen dat je rustig achterover
kunt gaan hangen.
informatiebeveiliging af te dekken, zodat de bestuurder kan zeggen dat
hij/zij zich aan de wet houdt. Dat blijft dus een papieren exercitie die
geen enkele verbetering levert aan het beveiligingsniveau."
En je denkt dat wanneer er wettelijke regels zijn voor beveiliging, je enkel
op papier hoeft te verklaren dat je je hieraan houdt, en dat dit niet door
middel van audits wordt gecontroleerd om te kijken of je daadwerkelijk
compliant bent ?
firewalls, proxies, filters, scanners en noem maar op. Al
lang voordat de overheid zich bewust werd van zoiets als
internet.
Dus ik denk dat de stelling aantoonbaar niet klopt.
scanners en noem maar op. Al lang voordat de overheid zich bewust werd
van zoiets als internet."
Impliceert de aanwezigheid van bepaalde hardware automatisch dat een
bedrijf de beveiliging op orde heeft ? Immers is de beveiliging een proces
dat goed moet worden bijgehouden, en tijdsintensief is. Veiligheid is geen
accumulatie van een aantal produkten.
automatisch dat een bedrijf de beveiliging op orde heeft ?
Immers is de beveiliging een proces dat goed moet worden
bijgehouden, en tijdsintensief is. Veiligheid is geen
accumulatie van een aantal produkten.
het is geen antwoord op de vraag. De stelling Alleen
wetgeving kan computerbeveiliging verkopen zou
betekenen dat bedrijven pas geld uitgeven aan
beveiligingsproducten, wanneer de wet dat zou voorschrijven.
Op het moment dat bedrijven daar al geld aan uitgeven zonder
die wetgeving, is de stelling dus niet waar.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
