Ik weet niet of ik de enige ben die het idee heeft dat hij de laatste maanden wordt overspoeld met slecht nieuws, maar het lijkt wel of er elke dag een nieuwe ramp gebeurt.
Zonder ongevoelig te willen lijken voor het leed van de slachtoffers, denk ik dat we onszelf steevast de vraag stellen wat we er van kunnen leren en ons vervolgens daarin vastbijten. De recente gebeurtenissen in New Orleans onderstrepen wat er kan gebeuren als er niet wordt geïnvesteerd in voldoende dekking van de risico’s in de, zoals hier is gebleken, ijdele hoop dat “dit ons niet overkomt”.
Een van de belangrijkste gebieden waarin we vandaag de dag een gebrek een investering zien, is de bescherming van de digitale activa van ondernemingen. Ondanks miljoenen euro’s investering in bescherming tegen hackers, virussen en andere dreigingen vanuit het publiek toegankelijke internet, is de realiteit dat de grootste bedreiging voor bedrijven, de bedrijven zelf zijn! Bedrijven geven vandaag de dag miljoenen euro’s uit om zich te beschermen tegen de internetterrorist, maar het grootste gevaar komt van binnenuit. Bijna alle veiligheidsonderzoeken concluderen dat tot 80 procent van de verliezen het resultaat zijn van intern misbruik, en toch blijven we proberen ons te beschermen tegen die 20 procent!
Onlangs merkte een in Engeland gevestigd bedrijf dat een vertrouwelijk ‘verzoek om informatie’ waarop het reageerde, in handen was gekomen van een concurrent. Hoewel het lek bij het bedrijf leek te zitten dat de outsourcingdiensten leverde, kon geen van beide partijen de boosdoener identificeren. Natuurlijk wordt er nu actie ondernomen om ervoor te zorgen dat dit niet nog eens kan gebeuren. Ik begrijp echter niet hoe iemand dit probleem verwacht op te lossen met op het kantoor rondsturen van een memo met het verzoek “doe dit alsjeblieft niet”. Je zou dit kunnen vergelijken met een bank die in plaats van een kluis een bordje heeft waarop staat “niet stelen alstublieft”!
Vaak is er een echt incident nodig voordat het management zich realiseert wat voor risico’s er worden genomen met de kans op succes van de organisatie en met hun eigen carrière. Een grote Europese bank heeft dit jaar te maken gehad met twee grote lekken, die gelukkig voor het bedrijf de voorpagina’s niet haalden. Er was een flinke schrik nodig voordat het management uiteindelijk accepteerde dat er iets moest gebeuren, en zelfs nu nog doen ze moeilijk over een relatief kleine investering die ervoor moet zorgen dat ze beschermd zijn.
In het tegenwoordige bedrijfsklimaat is het noodzakelijk dat afdelingsmanagers bepalen wat de bedrijfskritische activa zijn en ervoor zorgen dat ze worden beveiligd. En wel zo, dat degenen die geen recht hebben ze te zien, niet op de hoogte zijn van hun bestaan, en dat degenen die wel het recht hebben de informatie in te zien, weten dat ze dat niet kunnen doen zonder een volledig traceerbaar spoor achter te laten. We weten ook maar al te goed dat je op het moment dat er iets ergs gebeurd, hoe klein ook, niet moet gaan proberen je waardevolle spullen die overal verspreid liggen, terug te vinden. We moeten er zeker van zijn dat al onze waardevolle spullen zich op één plek bevinden die onder alle omstandigheden veilig is en dat we, als er dan toch iets gebeurd mocht zijn, een veilige backup hebben.
In de huidige bedrijven bestaan deze waardevolle spullen vaak uit gevoelige gegevens, die normaal gesproken zijn opgeslagen in computerbestanden, en de wachtwoorden voor deze bestanden. Elk bedrijf dat de bedrijfsvoortzetting zeker wil stellen moet ervoor zorgen dat de toegang tot bedrijfskritische systemen en de gegevens op deze systemen beveiligd is; niet alleen tegen de superhacker, maar ook tegen de oh zo bescheiden medewerker. Nalaten dit te doen komt neer op vergaande kortzichtigheid, aangezien dagelijks wordt aangetoond wat er zou kunnen gebeuren. Hoeveel bedrijven lijden niet onder de gevolgen van deze “dat overkomt ons niet”-houding. Tenslotte zou die bescheiden medewerker wel eens een superhacker in vermomming kunnen blijken!
Calum M. MacLeod is senior it-consultant bij Cyber-Ark Software.
