Security valt of staat met bewustzijn

‘Informatiebeveiliging is meer dan technologie’

De gele armbandjes staan voor bewustzijn van de strijd tegen kanker. Beveiliging kan dit ook gebruiken.

De gele armbandjes staan voor bewustzijn van de strijd tegen kanker. Beveiliging kan dit ook gebruiken.

Security is een hot topic in de ict, maar hoort daar eigenlijk niet thuis. Tenminste, niet alleen. Informatie is weliswaar digitaal en dus is de link met ict gauw gelegd. Toch valt de beste ict-beveiliging door mensen te negeren, ofwel niet-kwaadwillend te omzeilen.

"Als ik vraag wat heb je zoal aan beveiliging gedaan, dan krijg ik meestal antwoorden over de firewall, het wachtwoordenbeleid, de antivirusoplossing, enzovoorts. Maar informatiebeveiliging is meer dan technologie. Je moet het breder zien", vertelt Wilbert Pijnenburg, directeur Nederland van bewustwordings- en trainingsbedrijf InfoSecure. Dat Nederlandse bedrijf maakt bewustwordingsprogramma's voor informatiebeveiliging. Het biedt dus geen producten, maar trainingsprogramma's voor medewerkers.

Makkelijk wachtwoord

"Wachtwoorden zijn een makkelijk voorbeeld; mensen kiezen vaak toch een makkelijk woord, zoals hun achternaam, of een opvolgnummer bij een basiswachtwoord." Dan denken organisaties en de medewerkers dat ze veilig zijn, maar dat is dus een misvatting. "De technologie valt dan te omzeilen. De reactie is dan vaak ‘meer technologie', bijvoorbeeld het invoeren van een keycard, wat de zaken nog complexer maakt. Als je mensen bewust maakt van beveiliging, had je die investering niet hoeven doen."

"Vaak wordt er toch eerst aan technologie gedacht, voor de quick wins."Niet dat Pijnenburg tegen technische oplossingen is. "Technologie en bewustzijn gaan samen, hand in hand. Maar vaak zie je toch een spagaat ertussen." Aan uitleg en bewustwording wordt vaak pas gedaan als beveiligingsincidenten niet, of niet meer, bij de technologie lijken te liggen. Maar bij de medewerkers, veelal onwetend.

Mede-verantwoordelijk

"Je moet éérst je procedures op orde hebben. Vaak is er aan het personeel wel verteld dat ze security incidenten moeten melden. Maar als dan niet duidelijk is hoe, en bij wie, en wat een incident is. Vaak is ook niet duidelijk wie die melding gaat opvolgen, en hoe. Wie is verantwoordelijk?"

De belevenis is vaak dat informatiebeveiliging gelijk staat aan ict-security. "Het is echter veel breder. Medewerkers, ook ict'ers, zijn mede-verantwoordelijk. De ict-afdeling moet dus eigenlijk buiten zijn verantwoordelijkheden gaan", pleit Pijnenburg. In de ideale situatie is dit een klus voor de cso, hoofd beveiliging, die dan in een stafafdeling zit. Een externe criticaster dus, net als een auditor. Mogelijk valt deze taak onder de cio, als hoofd informatie (chief information officer), maar in de praktijk is de cio vaak ‘slechts' hoofd ict.

"Grote organisaties hebben meestal een aparte afdeling hiervoor, bijvoorbeeld risk management of een stafafdeling. Bij kleinere organisaties zie ik ook tussenvormen; iemand met dubbele rapportagelijnen die dan bijvoorbeeld gestationeerd is op de ict-afdeling maar ook verslag uitbrengt aan het management. Dat zijn nogal gekunstelde vormen, die volgens mij niet voor de lange termijn zijn.