Beslissingen omtrent it-beveiliging worden tegenwoordig maar al te vaak gebaseerd op heersende opvattingen binnen de sector in plaats van op een reële zakelijke noodzaak. Veel ondernemingen laten zich leiden door aanbevelingen van leveranciers of consultants of zelfs door de voorkeuren van hun branchegenoten en dus niet door hun wérkelijke behoeften op dit gebied.
Investeringen in it-beveiliging worden bij veel organisaties benaderd volgens algemene standaarden: hierdoor wordt er niet of te weinig onderzocht wat er werkelijk benodigd is
Als de chief security officers (cso’s) investeringen in beveiliging objectief zouden bekijken in plaats van de genoemde subjectieve benadering te gebruiken, zodat de it-bronnen voor de beveiliging gekoppeld worden aan essentiële bedrijfsmiddelen en kritieke systemen, dan zou het veel eenvoudiger zijn om de effectiviteit van de gevolgde strategie te meten en het investeringsrendement aan te tonen.
De luchtvaartsector biedt een interessant voorbeeld van subjectieve besluitvorming. Veel luchtvaartmaatschappijen verstrekken tegenwoordig plastic bestek aan de passagiers vanwege veiligheidsrisico’s. Betekent dit dat luchtvaartmaatschappijen die nog steeds bestek van metaal gebruiken, onveilig zijn? Niet per definitie. Een ander voorbeeld. Op veel luchthavens is het verplicht om de schoenen van de passagiers te laten scannen. Dit is echter niet op alle luchthavens verplicht. Met andere woorden: de veiligheidseisen in de luchtvaartsector zijn inconsistent. Veel beslissingen worden instinctief genomen en niet op grond van objectieve maatstaven: het gaat eerder om meningen dan om feiten.
Hetzelfde geldt vaak voor it-beveiliging. Uit een recent onderzoek, uitgevoerd door de London School of Economics in opdracht van McAfee, blijkt dat cso’s en cio’s vaak moeite hebben met het bepalen van de hoogte van investeringen of de mate waarin technologie binnen de organisatie nodig is, vanwege een tekort aan maatstaven.
Zo wordt in het McAfee Reputation Risk Report 2006 een cso uit Zweden aangehaald die het volgende zegt: “Het gebrek aan standaarden of normen maakt het soms moeilijk om de waarde of de efficiëntie van onze handelingen te evalueren, omdat de enige echte indicatie van het veiligheidsniveau bestaat uit inbreuken op de beveiliging. Inbreuken doen zich echter niet vaak genoeg voor om een betrouwbare indicatie te geven.”
Nieuw tijdperk
Een deel van het probleem wordt veroorzaakt doordat de it-beveiliging zich de afgelopen jaren zo snel heeft ontwikkeld. Het tijdperk van de e-mailwormen die binnen enkele uren miljoenen computers over de hele wereld konden besmetten, is voorbij. Ondernemingen worden tegenwoordig geconfronteerd met veel gevaarlijkere en meer gerichte bedreigingen van buitenaf, plus een toenemende interne kwetsbaarheid voor handelingen van de eigen medewerkers. Een voorbeeld is het bewust of onbewust lekken van betrouwbare informatie. Daarnaast is er de naleving van nieuwe wet- en regelgeving, een aspect dat volgens Gartner nog tot 2010 de belangrijkste drijvende kracht achter investeringen in de informatiebeveiliging zal blijven.
Cso’s hebben dus te maken met uiteenlopende veiligheidsrisico’s voor hun organisaties die bestreden moeten worden met een beperkt budget. De rechtvaardiging hiervan is vaak op bestuursniveau problematisch. Het is gewoonweg niet mogelijk alle veiligheidsrisico’s uit te sluiten, waardoor cso’s vaak op tactisch niveau besluiten nemen en middelen beschikbaar stellen om het meest nijpende probleem aan te pakken. Echter is dit probleem soms alleen maar nijpend in de ogen van een leverancier of van andere cso’s. Zonder concrete en harde feiten over de ernst van het it-risico waarmee een onderneming geconfronteerd wordt, is het veelal een hele uitdaging om een hoger budget te bepleiten in de bestuursvergadering.
Prioriteiten stellen
Bij de overgang naar een meer objectieve en strategische aanpak is de eerste stap het erkennen dat een zekere mate van risico in de ict onvermijdelijk is. Er zullen altijd beperkte middelen beschikbaar zijn, waardoor het stellen van prioriteiten noodzakelijk is. Een strategische benadering betekent dat middelen worden afgewogen tegen zakelijke prioriteiten om te komen tot een aanvaardbaar risiconiveau.
De tweede fase van een geslaagde strategie bestaat uit het verkrijgen van een goed inzicht in de zakelijke omgeving en de prioriteiten van de onderneming, met als doel te kunnen identificeren welke bedrijfsmiddelen cruciaal zijn voor de continuïteit van de onderneming. Dit inzicht omvat tevens een goed begrip van de eisen die door de overheid aan de onderneming worden gesteld. De systemen die de financiële dienstverlening van een bank mogelijk maken zijn essentieel voor de bedrijfscontinuïteit, maar de integriteit van de klantgegevens is cruciaal vanuit het oogpunt van naleving. Deze koppeling tussen beveiligingsmiddelen en kritieke systemen is uiteindelijk onontbeerlijk om de uitgaven voor it-beveiliging te kunnen rechtvaardigen.
‘Hoe veilig zijn we?’
Een cso moet de vraag ‘Hoe veilig zijn we?’ kunnen beantwoorden zonder terug te vallen op vage, niet te onderbouwen aanduidingen in de categorie ‘goed’, ‘slecht’, ‘niet slecht’ of ‘kan beter’. Om effectieve beveiligingsmaatregelen te kunnen implementeren met de beschikbare middelen is een goed begrip van de relatieve waarde van beveiligingsmiddelen erg belangrijk. Wat is de meerwaarde van nieuwe firewalls, patches, encryptiesystemen, trainingen, fysieke veiligheidsmaatregelen en andere beschikbare technologie en hulpmiddelen? Aan welke aspecten hebben we geld uitgegeven en waarom waren deze aspecten belangrijk? Dit soort beslissingen worden maar al te vaak genomen zonder effectieve criteria. De ict-sector kent een groot aantal verhalen over dergelijke strategische beslissingen, doorgaans zonder happy end.
Moderne beveiligingsorganisaties hebben de beschikking over een groot arsenaal aan beveiligingstechnieken, zoals scanners, dashboards, eventmanagers en nog veel meer. Het essentiële element dat ontbreekt, is de mogelijkheid om een herhaalbare procesmethodiek aan te bieden, bijvoorbeeld het capability maturity model (cmm). Een dergelijk proces moet bovendien gebaseerd zijn op objectieve maatstaven, met in het achterhoofd het motto ‘Je kunt niet managen wat je niet kunt meten’. Salesafdelingen, productiegroepen en andere bedrijfsonderdelen moeten dagelijks vooraf vastgestelde meetwaarden aanleveren voor een effectief management van de verwachtingen.
Deze meetwaarden moeten besluitvormingscriteria op zakelijke gronden zijn en geen informele gegevens zonder koppeling aan beslissingen, zoals het aantal hits van de firewall of het aantal gescande e-mails. De cso moet in staat zijn een duidelijk dalende trend bij de risico’s te demonstreren en objectieve gegevens te verschaffen die de naleving van de geldende voorschriften aantonen.
Er is geen enkel excuus voor grote ondernemingen die subjectieve beslissingen nemen over it-beveiliging. Er zijn feiten beschikbaar om als uitgangspunt te dienen voor objectieve besluitvorming. Als u weet wat de bedrijfskritieke systemen zijn en met welke mate van risico deze systemen worden geconfronteerd, dan kunt u duidelijke en goed gefundeerde beslissingen nemen over de verdeling van de middelen, het stellen van prioriteiten en de noodzaak voor aanvullende investeringen. Uiteindelijk dienen besluiten over it-beveiliging te worden gebaseerd op de specifieke behoeften van de onderneming en niet op de heersende opinie binnen de bedrijfstak als geheel. Zo kan iedere cso beslagen ten ijs komen over it-beveiliging in zijn ondermening als het gaat om investeringsrendement.
Vincent Zeebregts, marketing manager Benelux McAfee