image

'Security niet alleen taak van IT-afdeling' (interview)

maandag 1 juli 2013, 11:44 door Redactie, 3 reacties

Als het om IT-security gaat maken veel Nederlandse bedrijven nog klassieke denkfouten, zoals het beschouwen van security als een aangelegenheid die alleen bij de IT-afdeling thuishoort. En dat kan bedrijven onnodig kreupel maken. IT-security moet namelijk onderdeel van 'eenieders dagelijkse werkwijze zijn.

Dat zegt beveiligingsexpert Don Eijndhoven in een interview met Security.NL. Eijndhoven is CEO van Argent Consulting

Wat is een klassieke denkfout die je bij veel bedrijven tegenkomt op het gebied van security?
Eijndhoven: Er zijn een paar klassieke denkfouten die ik veel zie terugkomen bij bedrijven als het aankomt op informatiebeveiliging, en ze zijn gerelateerd aan elkaar. Het is natuurlijk een beetje een open deur, maar het begint bij de veronderstelling dat security een IT aangelegenheid is. Informatiebeveiliging is echt heel veel breder dan dat, en als je de IT afdeling aanwijst voor de gehele afvang ervan, maak je jezelf onnodig kreupel.

Toch gebeurt dit nog steeds heel veel. Dit onderwerp hoort door het hele bedrijf gedragen te worden en dient een onderdeel te zijn van de eenieders' dagelijkse werkwijze. Het adequaat beveiligen van informatie en het beheersen van risico's vereist dat je dit meeneemt in ieder onderdeel van je bedrijf, en hiervoor processen en structuur aanbrengt. Deze ontbreken nog vaak.

Het gevolg van informatiebeveiliging een IT-only aangelegenheid maken is dat veel Nederlandse bedrijven geen apart budget hebben voor informatiebeveiliging. Veelal maakt dit onderdeel uit van het IT budget, en daar dan maar een zeer beperkt deel van. Ik zeg bewust Nederlandse bedrijven, want in de VS is dit bijvoorbeeld vaak beter geregeld.

Het hebben van een onafhankelijk budget is belangrijk omdat het je wendbaarder maakt. Tevens stelt het de informatiebeveiligers in staat om eigen prioriteiten te stellen, onafhankelijk van de waan van de dag binnen het IT landschap.

Je had het erover dat er bij bedrijven vaak verouderd beveiligingsbeleid aanwezig is. Waar bestaat dat precies uit en wat moet er worden gedaan om te moderniseren?
Eijndhoven: Ik kom inderdaad regelmatig zeer verouderde beleidsdocumenten tegen. Dit zijn vaak flinke documenten waar veel werk in gezeten heeft, en men om onduidelijke redenen niet graag aan sleutelt. Dit kan natuurlijk worden verklaard door luiheid of desinteresse, maar veel vaker wordt het hebben van een informatiebeveiligingsbeleid gezien als een afgevinkt hokje en kijkt men er daarna niet of nauwelijks nog naar om.

Toch is het wel degelijk nodig om periodiek eens te kijken of je alle gaten wel hebt dichtgelopen. Hierbij valt vooral te denken aan nieuwe technologieën of diensten. Veel bedrijven hebben nog wel een beleid aangaande USB sticks, maar hoe effectief is dat nog wanneer je kijkt naar diensten zoals Dropbox of Google Docs? Hoe ga je om met webdiensten die 3e partijen linea recta toegang geven tot je netwerk zoals Teamviewer of LogMeIn?

Een andere heel aardige vraag om jezelf te stellen is hoe je omgaat met (al-dan-niet negatieve) uitingen over je bedrijf op social media. Kort samengevat is het belangrijk dat een beleidsdocument dynamisch is, omdat de wereld ook dynamisch is. Door het toepassen van meer dynamische methodes (bijvoorbeeld zoals B-Able die toepast in haar beleidsvorming) kunnen bedrijven adequater het hoofd bieden tegen risico’s en toch concurrerend blijven.

Wat zijn veel gemaakte fouten en problemen die je op de werkvloer vaak tegenkomt?
Eijndhoven: Ongeveer 2 jaar geleden zat ik tijdens Hacker Halted te luisteren naar een presentatie van Jeremiah Grossman. Hij had onderzoek gedaan onder Fortune 500 bedrijven, en hen de vraag gesteld waar zij hun IT budget dat voorgaande jaar aan uitgegeven hadden. Hier kwam uit naar voren dat het gros van het budget was opgegaan aan applicaties, en maar een klein percentage was geïnvesteerd aan de IT infrastructuur.

Hierop stelde hij hen de vraag waar zij hun Security budget aan hadden uitgegeven, en hieruit bleek dat het gros van het Security budget was uitgegeven aan de IT infrastructuur (denk firewalls etc.). Er is dus een grote mismatch gaande en die zie je hier ook veel terug. Mijn vraag is dus altijd: welk probleem beoog je nu werkelijk op te lossen bij de aanschaf van dit Security product?

Maar al te vaak kan hoger management deze vraag niet beantwoorden en moet het antwoord komen van degene die het advies in de eerste plaats gaf – meestal een techneut die het grotere (business) plaatje niet kan overzien. Zo ontstaan er dus aanzienlijke gaten tussen de realiteit en onze perceptie van welke problemen we dachten te hebben afgedekt. Als bedrijven succesvol weerstand willen bieden tegen aanvallers dan zullen ze hier anders mee om moeten gaan.

Er bestaat nog steeds bij veel bestuurders een gebrek aan verantwoordelijkheidsgevoel of, en dit is kwalijker: men waant zich niet aansprakelijk voor de gevolgen. Iemand herinnerde me aan een oud industrie spreekwoord: "You get the Security you deserve" en dat is nog steeds waar. Als de top al niet achter het informatiebeveiligingsplan staat, wie gaat het plan dan nog redden?

Waar moet je als bedrijf beginnen bij het opstellen van een informatiebeveiligingsbeleid?
Eijndhoven: Het informatiebeveiligingsbeleid is een set management mandaten die over de informatiebeveiliging gaan. De eerste logische stap is dus om na te gaan hoe management tegen security aankijkt. Wat willen zij minimaal afgedekt hebben? Denken zij dat het bedrijf nog kan voortbestaan als ze een serieuze inbraak ondergaan, of een langdurige outage?

De vraag is of ze het vanuit goed huisvaderschap belangrijk achten. Accepteer hierbij een eventueel gebrek aan IT-technische scholing, men zit er immers niet om de IT afdeling te runnen. Wellicht moet je dus doorvragen om de functionele eisen boven water te krijgen.

Als je eenvoudigweg een document aandraagt om af te laten stempelen dan is de kans groot dat je hun vereisten mist, of dat ze geen betrokkenheid voelen. In beide gevallen kun je hier in de toekomst problemen mee verwachten.

Reacties (3)
01-07-2013, 12:44 door Anoniem
Tja, na enkele decaden is het nog steeds hetzelfde. Echter, de automatiseringsafdelingen hebben door hun goedbedoelde maar niet business gedreven bedoelingen aan deze situatie bijgedragen door niet de waarom vraag te stellen en alleen de wat vraag in te vullen. Het zou dus die afdelingen sieren als ze in volgende gesprekken met de business leiders niet slaafs de wat vraag invullen maar vooral de waarom vraag helder beantwoord krijgen. Genoegen nemen met "omdat ik het zeg" is een zwaktebod. Het betekent namelijk dat je de business niet kunt overtuigen.

Advies, gebruik daarom ook niet het woord informatiebeveiliging omdat dit associaties met de techniek oproept, maar gebruik begrippen als risicobeheer of risicomanagement. Het begrip "Information Security" vertalen naar informatiebeveiliging doet geen recht aan de angelsaksiche betekenis hiervan en is dus - mijns inziens - misleidend geweest. Informatieveiligheid zou bijvoorbeeld beter hebben gepast.

Dit laatste sluit bij het pleidooi dat het niet alleen een IT-kwestie is. Immers, we roepen ook al langer dat technische oplossingen slechts 15-20% van de totale oplossing is en dat ca. 80% voor rekening van de business komt.

Frans.
01-07-2013, 13:44 door Anoniem
Leuk ideetje dat dynamische beleid, maar ....
1. Beleid is per definitie niet iets wat je dagelijks aanpast, beleid gaat (zou moeten gaan...) over lange termijn ondanks kortere-termijnchicanes;
2. Dynamisch in een bedrijfsomgeving... dat gaat dus niet: Beleid moet door allerlei (meervoud) vage niet-begrijpende (sic) partijen worden afgevinkt voor je ermee verder mag qua uitvoering. Als je dat elke keer gaat aanpassen, ben je 200% van je tijd bezig met vinkjes halen i.p.v. echt werk.
Beter dus: a. Beleid periodiek herzien (elke 3 jaar is meer dan zat) -- want het beleid is abstract genoeg om b. op tactisch en operationeel niveau een heleboel flexibel(iliteit) te regelen.
02-07-2013, 13:03 door Anoniem
Je kan van Informatiebeveiliging of Informatieveiligheid een definitiekwestie maken, maar dat is niet de kern van het probleem. Kern op een juiste manier binnen een organisatie met informatie wordt omgegaan, daarbij spelen een aantal factoren een rol. Op hoofdlijnen zijn die factoren terug te brengen op de vier pijlers van Operationeel Risico Management (ORM): mensen, processen, systemen en externe factoren. Informatiebeveiliging op zich zal zich dus meer moeten profileren als een aspect binnen ORM, en niet als een apart onderdeel. Als organisaties die zienswijze hanteren, dan zal het aspect informatiebeveiliging in een breder perspectief dan enkel ICT, immers men richt zich dan ook op mensen, processen en externe factoren. Dus inderdaad meer vanuit operationele risico's benaderen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.