Ict-beveiliging is dé hype van het nieuwe millennium. Iedereen praat er over en is er mee bezig. Bedrijfjes schieten als paddestoelen uit de grond en storten zich als een snelgroeiende zwammenketen op deze hype. Een cruciale vraag lijkt hierbij naar de achtergrond te verdwijnen. Heeft datgene waar iedereen zich zo druk over maakt, eigenlijk wel met verantwoorde ict-beveiliging te maken? Hans Labruyère geeft een opsomming van open deuren en slechte sloten.
Gevraagd naar informatiebeveiliging grijpen veel managementleden terug op de kreet ‘we hebben een firewall’. Klinkt leuk, ware het niet dat deze kreet synoniem is voor ‘met die fijne firewall hebben wij onze ict-beveiliging toch gedekt?’
Even een half open deur intrappen: een firewall garandeert nooit dat informatie veilig op de server staat. Een firewall zonder beleid is namelijk niets meer dan een instrument dat iets doet. Alleen jammer dat zo weinigen precies weten wat. Een firewall als enige oplossing is net zo effectief als een stalen deur in een papieren muur.
Het is belangrijk informatiebeveiliging vanuit een breed perspectief te benaderen. Dus niet alleen technisch, maar ook procedureel, beleidsmatig, organisatorisch en juridisch.
Ict-beveiliging heeft pas zin als het management er voor honderd procent achter staat en als zij geen sluitpost is. Uiteraard moeten andere aspecten zijn mee genomen, zoals een
grondige risicoanalyse, om te bepalen tot op welk niveau een risicobeleid zinvol is. Voordat een organisatie überhaupt aan ict-beveiliging kan denken, moet zij dus eerst een eenduidig document met concrete doelstellingen opstellen. Beleid moet tenslotte altijd controleerbaar zijn, en daadwerkelijke periodieke controle is van groot belang. Anders heeft dat beleid evenveel macht als een leeuw zonder tanden.
Bij de voorbereidingen van een goed bedrijfsplan kan het nuttig zijn hulp van externen in te roepen. Hiermee is te voorkomen dat bijvoorbeeld ‘bedrijfsblindheid’ onvolkomenheden in het beleid veroorzaakt. Ook kan het verassend zijn eens een andere opinie te horen. Maar pas op voor de gevestigde orde; deze kan namelijk ook last hebben van bedrijfsblindheid, bovendien is de frisse wind er al jaren oud.
Daarnaast zijn er bedrijven die stellen de oplossing te hebben voor alle ict-beveiligingsproblemen, en deze vervolgens op een half A4-tje aan de klant presenteren. En wie doen er dan hun intrede? Juist, diverse consultants die dat halve A4-tje implementeren terwijl niemand binnen het bedrijf eigenlijk precies weet waarmee die externen bezig zijn. Met andere woorden: laat je adviseren, maar behoud de regie. Maak desnoods gebruik van een ‘second opinion’.
Vertrouwenskwestie
Een andere deur die op een flinke kier staat is deze: beveiliging belemmert de ontwikkeling van het bedrijf. Natuurlijk vindt niemand controle leuk. En het spreekt voor zich dat een beveiligingsbeleid de productiviteit en de flexibiliteit van een bedrijf niet in de weg mag staan. Maar dit alles mag geen reden zijn om helemaal geen beleid te formuleren en toe te passen. Anders zou het zomaar kunnen dat juist de beveiliging van uw informatie – of beter gezegd het gebrek daaraan – de ontwikkeling van uw bedrijf in de weg staat.
En welk bedrijf laat tegenwoordig nog zijn personeel screenen? We werken toch op basis van vertrouwen? Maar meer dan tachtig procent van alle informatielekken ontstaat door het eigen personeel. En wat dacht u van de nieuwste vorm van bedrijfsspionage: een medewerker van bedrijf x ‘neemt ontslag’ om vervolgens een jaartje bij de concurrent te ‘werken’ en daarna vrolijk met de kennis en de ervaring van de concurrent weer terug keren bij het eerste bedrijf.
De meeste bedrijven doen aan beveiliging zoals zij een Hifi-stereoset kopen. Vijfennegentig procent van het budget gaat naar de versterker, de rest naar de luidsprekers. Waardoor deze laatste de kwaliteit van het geluid bepalen en meestal juist verminderen. Wie besluit aan ict-beveiliging te doen, moet aan alle stappen in het traject dezelfde kwaliteitseisen stellen.
Het nadeel van beveiligen is: je doet het goed of je doet het helemaal niet. Een tussenweg is er simpelweg niet – denk aan de deur van staal in de muur van papier.
Nog een leuke open deur: beveiliging is duur. Maar wat kost het als een Nintendo-specialist op zondagmiddag met zijn virus-toolkitje de zoveelste variant van het Nimda-virus lanceert en daarmee het hele bedrijf weer eens plat legt?
De mate van beveiliging hang natuurlijk af van de waarde van de bedrijfsinformatie. Je bouwt geen kluis om er vervolgens een pakje boter in op te bergen. Maar bedenk dat ict-beveiliging geen eenmalige investering is. Het is een continu proces. Want waarin een hacker vandaag faalt, heeft hij morgen waarschijnlijk succes.
We zijn o zo voorzichtig met het versturen van onze kredietkaartgegevens over internet. En terecht. Maar vreemd genoeg geven we zonder blikken of blozen onze kredietkaart af aan een ober van een duister restaurant. Een laatste open deur: een vals gevoel van veiligheid is erger dan onzekerheid.
Gezonde achterdocht
Wat is nu de beste manier om met beveiliging om te gaan? Gewoon met gezond verstand. Neem de tijd voor een goed beveiligingsplan, vraag experts om advies en laat het plan regelmatig toetsen op actualiteit. Zorg dat medewerkers betrokken zijn en laat het ook hun verantwoording zijn. Word niet paranoïde, maar een beetje gezonde achterdocht mag best. Als iedereen weet waar hij aan toe is, kunnen er ook geen precedenten ontstaan. Betrek beveiligingsaspecten in een zo vroeg mogelijk stadium van nieuwe ontwikkelingen en laat het geen sluitpost zijn.
Hans Labruyère Sales Executive Seneca Risk & Security