| Download whitepapers, case studies en onderzoeken over ICT-onderwerpen Computable IT Knowledge Base  |
Dagelijks het laatste ICT-nieuws in je inbox? Computable e-mail nieuwsbrief |
security / Achtergrond
Security moet het huis niet dichtmetselen
Case: NS
De NS beveiligt, maar let op openheid.
Het veiligste is een totaal afgesloten – of uitgeschakelde – computer. Nuttig is dat echter niet. Security en nut lijken haaks op elkaar te staan. De NS beveiligt ict met het oog op gebruik.
De Nederlandse Spoorwegen (NS) is een organisatie die beveiliging in een breder kader plaatst. Het gaat niet om beveiligd zijn, maar om veilig je business doen. "Onze cio zei ooit over een ict-project: ik heb een huis gekocht met dichtgemetselde ramen, daar heb ik niks aan", zegt Rien Dijkstra, it-architect informatiemanagement & technologie bij de NS.
Budget voor krijgen
Goede beveiliging is niet langer slechts een stevige kasteelpoort.
Je beveiliging potdicht hebben, staat soms haaks op wat de organisatie wil. Als ict'er moet je daar de balans in vinden én daar de middelen voor zien te krijgen." Die eerste taak is niet eenvoudig, maar de tweede kan nog lastiger zijn. "Security was tot voor kort erg gedreven door technologie, het is moeilijk daar budget voor te krijgen."
Dijkstra verwijst hiermee niet alleen naar het communicatiegat tussen ict'er en manager. Hij praat ook over de verschillende werelden van enerzijds technologische producten en anderzijds de bedrijfsactiviteit. Dat overbruggen en beveiliging goed op orde krijgen is niet makkelijk. "Je wilt water de andere kant op laten stromen."
Alles op slot zetten, levert de onderneming namelijk alleen maar hinder op. "Security is ook steeds moeilijker doordat de organisatie steeds meer open moet zijn, bijvoorbeeld voor partners en toeleveranciers, maar ook voor klanten." De ict'er werkt niet meer aan het oude beveiligingsmodel van het kasteel wat beveiligd is tegen de boze buitenwereld. Een fort met een duidelijke en controleerbare voordeur.
In het weekend verlaten
Een bankkluis is veilig, tenzij je het in het weekend niet in de gaten houdt.
Dijkstra vertelt op het Computable-dagseminar Security hoe de NS werkt aan ict-beveiliging. "Je moet beveiliging koppelen aan de risico's. Beveiliging an sich is géén beveiliging. Denk bijvoorbeeld aan een stevige bankkluis die op slot zit, maar in een gebouw dat in het weekend totaal verlaten is." Dan kan een kraker rustig die paar dagen zijn gang gaan. "Je hebt dus ook monitoring nodig. Daarmee kun je gelijk ook compliant zijn", stipt Dijkstra aan.
De it-architect van de NS benadrukt dat je met compliancy écht veilig kunt zijn. "In plaats van dat je technologische schijnzekerheid hebt." Het hebben van beveiligingsproducten garandeert geen goede beveiliging. Door security in te richten naar risico's en bedrijfsbelang kom je veel verder, argumenteert Dijkstra. "En je kunt dan ook op elk moment zelf een audit uitvoeren." Dus niet dénken dat je beveiligd bent, maar meten.
- InfoSec – Bedreigingen wisselen per sector
- ‘De opdrachten zijn steeds uitdagender'
- Beveiliging kan uit handen
- DNS-lek ondermijnt vertrouwen in internet
- Beveiligingsgat: roepen of zwijgen?
- Docent schrijft boek over ICT Security
- Helft van PC's draait zonder firewall
- Lering trekken uit onopgemerkte aanvallen
- Investeringen in beveiliging schieten tekort
Dit hele artikel is een verhaaltje over aardappels met peren vergelijken. Bedroevend niveau.
Dan gaat de organisatie failliet. Dat is er mis mee.
Hoe belangrijk security ook is, het geld wordt verdiend met het primaire proces (grof gezegd: met inkoop, produktie en verkoop).
In veel organisaties belemmert de huidige security de uitvoering van het primaire proces.
Zonder primair proces is er zeker geen organisatie. Zonder security is er een kans op geen organisatie.
Wat kies je dan als directie?
"het geld wordt verdiend met het primaire proces (grof gezegd: met inkoop, produktie en verkoop)."
Kijk das nu typisch zo'n financiele, sales of management opmerking:
- zolang IK mijn eigen kunstje maar kan blijven doen,
- zolang IK mijn eigen straatje kan blijven schoonwegen, - zolang IK mijn targets maar haal,
interesseert mijn de rest van mijn bedrijf mee geen...
En als je dan genoeg vriendjes hogerop in de "organisational tree" hebt zitten met een zelfde atitude kom je er nog mee weg ook!
Hierdoor ontstaan er allerhande machtsspelletjes en automatiserings-eilandjes. En wie word er weer geacht het rotte organisatorische bedrijfs fundament aan elkaar te knopen.. Juist .. de ict afdeling.
Ik heb oprecht medeleven met die werknemers in zon bedrijf, en ik heb zelf vaak genoeg in dat soort toko's mogen werken waar ict gebruikt werd als "company lijm" om niet samenwerkende afdelingen toch aan elkaar geknoopt te krijgen en houden.
"In veel organisaties belemmert de huidige security de uitvoering van het primaire proces."
In een GOED ONTWORPEN bedrijf (maar ja waar vind je dat nog) beseft het management zich, dat je anno 2008, niet meer zonder ict kunt draaien ;-)
Op het moment dat "de security je in de weg zit", zit er dus iets structureels fout in het "verkeerd - geautomatiseerde - machts - eilandjes - organisatiemodel" van je bedrijf.
Maar... dat willen de meeste leidinggevende niet toegeven, het is altijd makkelijker om het af te schuiven op de ict afdeling.
"Wat kies je dan als directie?"
Eieren voor je geld hoop ik, voordat je ict afdeling wegloopt of solliciteert omdat ze niet langer in staat zijn om dit circus dag in dag uit draaiende te houden ;-)
Het ware primaire proces zou - in mijn ogen - de ict afdeling moeten zijn van ieder bedrijf. Dit DRAAGT immers de gehele enterprise qua informatie voorziening.
En als die info-flow stagneert, werken de mensen in je bedrijf ook niet samen, gaan ook je bedrijfs resultaten omlaag.. maar das mijn visie
In mijn reactie noemde ik een inhoudelijke argument, 'het geld wordt verdiend met het primaire proces'. Dat leek mij een open deur, maar kennelijk is het dat voor u niet. Dat kan.
Hierop reageert u met een poging om mijn achtergrond er bij te betrekken, financieel, sales of marketing. Dit is alledrie mis geschoten, maar bovenal behoort de achtergrond van een deelnemer er in een inhoudelijke discussie niet toe te doen. Deze drogreden is van het type ad hominem.
Verder voegt u aan mijn woorden andere argumenten toe door te stellen dat het alleen om het "IK" zou gaan en dat de rest van mijn bedrijf me geen ... interesseert. Dit is door mij niet gezegd en ook niet waar. Gezien de wijze waarop u hierover schrijft, lijkt het alsof ik dit wel hebt gesteld en lijkt u een punt te kunnen scoren. Dit wordt de drogreden van de stroman genoemd.
Hierop vervolgt u met te stellen dat u een oprecht medeleven heeft met medewerkers en dat u in heel veel organisaties heeft gewerkt.
Hiermee geeft u uw eigen betrokkenheid en autoriteit alsof zij argumenten zijn tegen mijn stelling. Tevens wekt deze alinea de suggestie dat uw tegenstander op deze eigenschappen minder is dan u.
Uw persoonlijke eigenschappen, hoe prijzenswaardig ook, zijn echter geen inhoudelijke argumenten en tellen dus niet mee.
Het argument blijft dus staan:
"Het geld wordt verdiend met het primaire proces".
Voor de duidelijkheid wil ik hier graag aan toe voegen dat het gaat om geld van de gehele organisatie gaat en niet om een afzonderlijk budget of salaris.
Ik hoop dat u om te beginnen dit argument inhoudelijk wilt weerleggen. De rest van uw betoog wankelt mijns inziens ook, maar om het leesbaar te houden houd ik het nu even kort.
Voor een introductie argumentatieleer en drogredenen, verwijs ik iedereen graag naar Wikipedia. Zelf Aristoteles lezen mag natuurlijk ook, of Schopenhauer, maar die heeft zijn werk hierover helaas niet afgemaakt.
Tot mijn argumenten met inhoudelijke argumentatie zijn weerlegd, blijft mijn betoog staan. Zie mijn eerste reactie.
<quote>
Het ware primaire proces zou - in mijn ogen - de ict afdeling moeten zijn van ieder bedrijf. Dit DRAAGT immers de gehele enterprise qua informatie voorziening.
En als die info-flow stagneert, werken de mensen in je bedrijf ook niet samen, gaan ook je bedrijfs resultaten omlaag.. maar das mijn visie
</quote>
Hmmm, kennelijk heb je geen idee wat een primair bedrijfsproces is. Uit je betoog veronderstel je ICT een doel te zijn, ipv het ondersteunende hulpmiddel hetgeen het eigenlijk is.
Wel is het zo dat veel managers (in het kader van 'wat de boer niet kent, eet ie niet') bij voorbaat afwijzend staan tegenover (technische) securitymaatregelen, zeker als deze machines proactief beslissingen nemen over de gegevensstroom (bijv. IPS).
Belangrijk in deze is de mate van bescherming van elektronische gegevensverwerking tbv primaire processen. Goede assessments zijn dan ook onmisbaar in het implementeren van goede securitymaatregelen, alles 'zomaar dichtgooien totdat iemand begint te piepen' is in ieder geval niet goed.
Je hebt helemaal gelijk! Bedankt voor de lessen in argumenteren en drogredenen, Was erg leerzaam.
@Peter:
Blijkbaar is "een primair proces" een dagelijks kunstje in het bedrijf waar geld mee verdient word. Maar wat voor de ene persoon in het bedrijf het "primaire proces" is, kan voor een ander persoon "slechts bijzaak" zijn, omdat zijn, haar dagelijkse werk uit andere dingen bestaat.
Managers:
Dat vele managers geen kaas van ict hebben gegeten is me in de loop der jaren in businessland wel duidelijk geworden.
Dat vele managers inhoudelijk ook niet willen zien dat een smooth-running ict infrastructuur kan bijdragen aan het nog gemakkelijker en nog meer geld verdienen in het "primaire proces" is al helemaal te hoog gegrepen blijkbaar.
Door managers word tegen ict maar al te vaak aangekeken als tegen "de brandweer.." Wat heb ik eraan, het kost me te veel, en het valt alleen pas op als er echt brand uit breekt Voorbeeld:
- de email server is down
- database server is omgevallen
- bedrijfsgegevens zijn gehacked (door gebrek aan security en oprechte betrokkenheid van het management)
- webserver is "ineens" uit de lucht
- mijn mailbox zit (weer eens) vol
- ik heb een virus op mijn laptopje
Maar bedrijven waarbij managers en ict-er samenwerken om te zien hoe ict het primaire proces kan verlichten en optimaal kan ondersteunen zijn nog dun gezaaid in dit landje.
- 12:42 ECM onmisbaar in het 'nieuwe werken'
- 12:00 Online quiz Computable, vraag 9
- 11:26 Apple raadt antimalware aan voor Mac
- 10:40 EU-bestrijding cybercrime is vijfjarenplan
- 12:00 Online quiz Computable, vraag 8
- 10:10 EU vraagt hulp bedrijven tegen cybercrime
- 12:00 Online quiz Computable, vraag 7
- 12:00 Online quiz Computable, vraag 6
- 15:50 EU pakt cybercrime aan
- 12:07 SonicWALL beveiliging voor EBS en SBS
Meer Security
Security 3.0: de nieuwste generatie beveiligingsoplossingen (klad)
Het gebeurt nog te veel dat ondernemingen zich slechts beveiligen tegen problemen die zich reeds hebben voorgedaan, waardoor er een onbetrouwbaar systeem van controls ontstaat. Deze whitepaper licht ontwikkelingen in beveiligingsoplossingen toe en gaat daarbij met name in op de nieuwste generatie...... Download nu
Security èn toegevoegde waarde met een goede secure desktop solution
De toegenomen mobiliteit van medewerkers en de bijbehorende wens om overal te kunnen communiceren, maar ook overheidsmaatregelen voor informatiemanagement compliceren de rol van IT-afdelingen. Deze whitepaper belicht geïntegreerde security-oplossingen die niet alleen hun primaire taak goed...... Download nu
Meer Security whitepapersComputable Events Security
Computable organiseert in 2008 weer verschillende events met praktijkgerichte informatie over actuele onderwerpen in de ICT:
SonicWALL beveiliging voor EBS en SBS
28-11 12:07 SonicWALL, specialist in de beveiliging van netwerkinfrastructuur, kondigt Email Security en Network Security Appliance voor Windows Small Business Server (SBS) en Essential...
Meer security productenTransparante systeemtoegang voor 17.000 UWV-medewerkers
16-07 11:15 Het moet de nachtmerrie zijn van elke informatiebeveiliger: de toegang regelen van 17.000 medewerkers tot de systemen van een organisatie waarin ruim 22 miljard euro per jaar...
Meer security praktijkLege stoelen bij Pinewood
13-11 09:48 Netwerk- en databeveiliger Pinewood groeit. Binnenkort betrekt het bedrijf een tweede etage in een kantoortoren aan de rand van Delft. Daar bevindt zich het zenuwcentrum van...
Meer security achtergrondECM onmisbaar in het 'nieuwe werken'
02-12 12:42 Het nieuwe werken wordt in steeds meer bedrijven toegepast. Mondiale intergratie, opkomst van de digitale revolutie, toenemende vergrijzing, continue connectiviteit en overheids-...
Meer security opinieBekijk de leveranciers op het gebied van Security.
Computable.nl is onderdeel van VNU Media, uitgever van o.a.: NationaleVacaturebank.nl / Intermediair / Intermediair voor Starters / IntermediairPW / HRbase.nl / Overheidscircuit.nl / InInterim.nl / InOverheid.nl / InIct.nl / InFinancieel.nl / IT Directory.nl / Marketingdirectory.nl / Computable / Emerce / CRN / Vnunet.nl / Tweakers.net / Koopinfo / Management Team / Sprout
Abonneren / Adverteren / Disclaimer / Privacy / Alle rechten voorbehouden © VNU Media
Alles afsluiten, totdat de gehele organisatie (directie, managers en techneuten) op EEN lijn zit wie, wanneer, waarom, om welke reden toegang mag hebben tot company resources??
Dit geeft de PnO afdeling meteen een leuke reden om de scoop van de functieprofielen eens tegen het licht te houden, zodat iedern doet wat ie kan,mag doen en niet meer, maar ook niet minder.
De meeste hacks geschieden van binnen uit een organisatie, niet van buiten af ;-)
Security.. een must voor de hedendaagse onderneming, zeker als je met je company netwerk aan het internet hangt. Jammer dat er zelden verder gekeken word dan de ict afdeling en budget.
"Security is not found in tools or organisation-models"
"Security is a state-of-mind of real people"