Als het om IT-security gaat maken veel Nederlandse bedrijven nog klassieke denkfouten, zoals het beschouwen van security als een aangelegenheid die alleen bij de IT-afdeling thuishoort. En dat kan bedrijven onnodig kreupel maken. IT-security moet namelijk onderdeel van 'eenieders dagelijkse werkwijze zijn.

Dat zegt beveiligingsexpert Don Eijndhoven in een interview met Security.NL. Eijndhoven is CEO van Argent Consulting

Wat is een klassieke denkfout die je bij veel bedrijven tegenkomt op het gebied van security?
Eijndhoven: Er zijn een paar klassieke denkfouten die ik veel zie terugkomen bij bedrijven als het aankomt op informatiebeveiliging, en ze zijn gerelateerd aan elkaar. Het is natuurlijk een beetje een open deur, maar het begint bij de veronderstelling dat security een IT aangelegenheid is. Informatiebeveiliging is echt heel veel breder dan dat, en als je de IT afdeling aanwijst voor de gehele afvang ervan, maak je jezelf onnodig kreupel.

Toch gebeurt dit nog steeds heel veel. Dit onderwerp hoort door het hele bedrijf gedragen te worden en dient een onderdeel te zijn van de eenieders' dagelijkse werkwijze. Het adequaat beveiligen van informatie en het beheersen van risico's vereist dat je dit meeneemt in ieder onderdeel van je bedrijf, en hiervoor processen en structuur aanbrengt. Deze ontbreken nog vaak.

Het gevolg van informatiebeveiliging een IT-only aangelegenheid maken is dat veel Nederlandse bedrijven geen apart budget hebben voor informatiebeveiliging. Veelal maakt dit onderdeel uit van het IT budget, en daar dan maar een zeer beperkt deel van. Ik zeg bewust Nederlandse bedrijven, want in de VS is dit bijvoorbeeld vaak beter geregeld.

Het hebben van een onafhankelijk budget is belangrijk omdat het je wendbaarder maakt. Tevens stelt het de informatiebeveiligers in staat om eigen prioriteiten te stellen, onafhankelijk van de waan van de dag binnen het IT landschap.

Je had het erover dat er bij bedrijven vaak verouderd beveiligingsbeleid aanwezig is. Waar bestaat dat precies uit en wat moet er worden gedaan om te moderniseren?
Eijndhoven: Ik kom inderdaad regelmatig zeer verouderde beleidsdocumenten tegen. Dit zijn vaak flinke documenten waar veel werk in gezeten heeft, en men om onduidelijke redenen niet graag aan sleutelt. Dit kan natuurlijk worden verklaard door luiheid of desinteresse, maar veel vaker wordt het hebben van een informatiebeveiligingsbeleid gezien als een afgevinkt hokje en kijkt men er daarna niet of nauwelijks nog naar om.

Toch is het wel degelijk nodig om periodiek eens te kijken of je alle gaten wel hebt dichtgelopen. Hierbij valt vooral te denken aan nieuwe technologieën of diensten. Veel bedrijven hebben nog wel een beleid aangaande USB sticks, maar hoe effectief is dat nog wanneer je kijkt naar diensten zoals Dropbox of Google Docs? Hoe ga je om met webdiensten die 3e partijen linea recta toegang geven tot je netwerk zoals Teamviewer of LogMeIn?

Een andere heel aardige vraag om jezelf te stellen is hoe je omgaat met (al-dan-niet negatieve) uitingen over je bedrijf op social media. Kort samengevat is het belangrijk dat een beleidsdocument dynamisch is, omdat de wereld ook dynamisch is. Door het toepassen van meer dynamische methodes (bijvoorbeeld zoals B-Able die toepast in haar beleidsvorming) kunnen bedrijven adequater het hoofd bieden tegen risico’s en toch concurrerend blijven.

Wat zijn veel gemaakte fouten en problemen die je op de werkvloer vaak tegenkomt?
Eijndhoven: Ongeveer 2 jaar geleden zat ik tijdens Hacker Halted te luisteren naar een presentatie van Jeremiah Grossman. Hij had onderzoek gedaan onder Fortune 500 bedrijven, en hen de vraag gesteld waar zij hun IT budget dat voorgaande jaar aan uitgegeven hadden. Hier kwam uit naar voren dat het gros van het budget was opgegaan aan applicaties, en maar een klein percentage was geïnvesteerd aan de IT infrastructuur.

Hierop stelde hij hen de vraag waar zij hun Security budget aan hadden uitgegeven, en hieruit bleek dat het gros van het Security budget was uitgegeven aan de IT infrastructuur (denk firewalls etc.). Er is dus een grote mismatch gaande en die zie je hier ook veel terug. Mijn vraag is dus altijd: welk probleem beoog je nu werkelijk op te lossen bij de aanschaf van dit Security product?

Maar al te vaak kan hoger management deze vraag niet beantwoorden en moet het antwoord komen van degene die het advies in de eerste plaats gaf – meestal een techneut die het grotere (business) plaatje niet kan overzien. Zo ontstaan er dus aanzienlijke gaten tussen de realiteit en onze perceptie van welke problemen we dachten te hebben afgedekt. Als bedrijven succesvol weerstand willen bieden tegen aanvallers dan zullen ze hier anders mee om moeten gaan.

Er bestaat nog steeds bij veel bestuurders een gebrek aan verantwoordelijkheidsgevoel of, en dit is kwalijker: men waant zich niet aansprakelijk voor de gevolgen. Iemand herinnerde me aan een oud industrie spreekwoord: "You get the Security you deserve" en dat is nog steeds waar. Als de top al niet achter het informatiebeveiligingsplan staat, wie gaat het plan dan nog redden?

Waar moet je als bedrijf beginnen bij het opstellen van een informatiebeveiligingsbeleid?
Eijndhoven: Het informatiebeveiligingsbeleid is een set management mandaten die over de informatiebeveiliging gaan. De eerste logische stap is dus om na te gaan hoe management tegen security aankijkt. Wat willen zij minimaal afgedekt hebben? Denken zij dat het bedrijf nog kan voortbestaan als ze een serieuze inbraak ondergaan, of een langdurige outage?

De vraag is of ze het vanuit goed huisvaderschap belangrijk achten. Accepteer hierbij een eventueel gebrek aan IT-technische scholing, men zit er immers niet om de IT afdeling te runnen. Wellicht moet je dus doorvragen om de functionele eisen boven water te krijgen.

Als je eenvoudigweg een document aandraagt om af te laten stempelen dan is de kans groot dat je hun vereisten mist, of dat ze geen betrokkenheid voelen. In beide gevallen kun je hier in de toekomst problemen mee verwachten.