Rondom informatiebeveiliging heerst de hardnekkige, etterende boodschap dat 100 procent veiligheid een utopie is. Wie het onderwerp begrijpt, ziet in dat deze stelling irrelevant is. Het continu herhalen ervan leidt echter tot gebrek aan zingeving onder mensen die verantwoordelijk zijn voor informatiebeveiliging. Willen we vooruit, dan hebben we een heel andere motivatie nodig. Doorbreek de status quo en ga voor 100 procent!
De status quo in informatiebeveiliging laat gebrekkige motivatie zien om de effectiviteit ervan te vergroten. En als daarin al verbeteringen zichtbaar zijn, dan gaan ze wel tergend langzaam. Ik ben tot het inzicht gekomen dat dit voor een belangrijk deel veroorzaakt wordt doordat verantwoordelijken zich de vraag stellen: 'hoeveel zin heeft beveiliging eigenlijk?' En dat wordt weer versterkt door één veelgehoorde boodschap, namelijk dat 100 procent veiligheid een utopie is. Ten eerste is dat onzin, ten tweede is het zelfs heel erg irrelevant. Informatiebeveiliging draait om risicomanagement en je bepaalt zelf hoe je met je risico’s om wilt gaan. Als je dus een datalek ervaart, is dat een keuze.
Mijn boodschap: 100 procent veiligheid is haalbaar, maar de weg ernaartoe is veel belangrijker. Wacht dus niet langer en start vandaag.
Hoe is het gesteld met de beveiliging bij het gemiddelde Nederlandse bedrijf? Ik heb de afgelopen jaren de meest uiteenlopende organisaties bezocht en gezien dat hun beveiliging vaak verre van compleet is. Ik ben bang dat het gemiddelde bedrijf niet veel verder komt dan 30 procent veiligheid. Er zijn zelfs gevallen waar de score volgens mij nauwelijks boven de 0 procent komt. Het gaat dan om bedrijven die weliswaar beveiligingsoplossingen hebben aangeschaft en uitgerold, maar waar vervolgens niets of nauwelijks aan beheer wordt gedaan. Dan had je in feite die beveiligingsoplossingen ook niet hoeven kopen, want beheer en onderhoud is cruciaal voor de effectiviteit van iedere beveiligingsoplossing. Dat is dan ook een van de eerste praktische zaken die voor de beveiliging moeten worden aangepakt.
Drie hoofdvragen
Een ander essentieel punt is dat het implementeren van zelfs ook de beste beveiligingsoplossingen weinig effectief is als er geen goed plan en beleid achter zit. Het kost handenvol geld, maar het doel van volledige veiligheid komt niet eens in beeld. Wat dan wel? In mijn optiek draait het om drie hoofdvragen.
De eerste vraag: wat zijn de doelstellingen van de beveiliging? Adviezen en tips op internet kunnen handig zijn, maar ga in de eerste plaats uit van de eigen bedrijfsdoelstellingen. En daarbij: dit is een managementonderwerp, geen it-onderwerp!
De tweede vraag: welke risico’s loopt het bedrijf op dit moment en in het verlengde daarvan: hoe groot is de schade die het bedrijf kan oplopen? Denk ook aan risico’s die helemaal niet technisch van aard zijn, zoals vertrouwelijke papieren die niet door de papierversnipperaar gaan, of een oude computer of server die wordt weggegooid en waar nog gevoelige informatie op staat. Je zou het niet denken, maar dit zijn geen uitzonderingen; het gebeurt vrijwel elke dag.
De derde vraag: welke risico’s moeten afgedekt worden en welke niet? Die vraag is alleen te beantwoorden als de twee eerste vragen goed zijn beantwoord. Alleen wie zich echt bewust is van de risico’s en van de gevolgen als het onverhoopt misgaat, kan de juiste beveiligingsstrategie kiezen. Voor de acceptabele risico’s zijn natuurlijk wel de nodige controles nodig om beveiligingsproblemen direct te signaleren. En vervolgens moet er ook snel en adequaat gereageerd kunnen worden.
Preventie, respons en organisatie
De antwoorden op de drie vragen leiden tot een aanpak die bestaat uit preventie, respons en organisatie. Welke hiervan als eerste wordt aangepakt is eigenlijk niet zo belangrijk. Een bedrijf kan zelf een keuze maken. Maar let wel: er mag geen enkel element overgeslagen worden! Beveiliging kent ook geen vast begin- en eindpunt, want elk van deze drie aspecten verandert voortdurend. Informatiebeveiliging is een proces waar nooit een eind aan komt!
Bij preventie wordt aan de hand van het beleid en de schade-inventarisatie gekeken hoe de eerder bepaalde risico’s het beste kunnen worden voorkomen of afgedekt. Securitytechnologie speelt weliswaar een belangrijke rol, maar er zijn ook heldere beleidsregels en procedures nodig. Bij response gaat om het continu detecteren van verdachte activiteiten op het netwerk en de systemen, waarbij zo nodig direct actie kan worden ondernomen. Bij organisatie, tot slot, gaat het om het goed plannen, inrichten en formaliseren van de beveiligingsaanpak. Over het algemeen is mijn advies om bij de organisatie te beginnen. De realiteit is echter dat er bedrijven zijn die een snelle oplossing nodig hebben. Zo’n bedrijf kan beter met preventie of respons beginnen.
Ik ben ervan overtuigd dat door de drie kernvragen volledig te beantwoorden en preventie, response en organisatie goed in te richten, de deur echt helemaal dicht kan. 100 procent veiligheid is absoluut haalbaar en zelfs als een bedrijf de laatste fracties van procentpunten niet haalt, zijn de meeste risico’s - en zeker de grootste! - dan in ieder geval onder controle.
