Hoe ondernemingen omgaan met informatiebeveiliging wordt grotendeels bepaald door cultuur. Dit werd mij direct duidelijk toen ik na negen jaar werkzaam te zijn geweest als security consultant in de Verenigde Staten weer terug kwam in Nederland. Ik verruilde als het ware het land van ‘zero tolerance’ voor de Hollandse ‘laissez-faire’ mentaliteit. Een groter contrast is haast niet denkbaar.
In Nederland zien veel bedrijven informatiebeveiliging nog altijd als een kostenpost zonder duidelijke ROI. Wij houden niet van regels en gaan uit van de goedheid van mensen. Wanneer je de budgetten voor security in de VS vergelijkt met die van Nederlandse ondernemingen vallen de grote verschillen direct op. Dit is geen toeval, want het Amerikaanse bedrijfsleven ziet informatiebeveiliging als een belangrijk ingrediënt om de continuïteit van de onderneming te waarborgen. Zij zijn dan ook bereid hiervoor vergaande maatregelen te treffen.
Het inleveren van vrijheden voor veiligheid is onderdeel van de mindset van de gemiddelde Amerikaan. De security awareness is hoog en niets wordt aan het toeval overgelaten. Uitgangspunt van het beveiligingsbeleid is vaak dat medewerkers zoveel mogelijk beschermd moeten worden tegen hun eigen tekortkomingen. Wanneer zij te veel vrijheid hebben, zal er vroeg of laat iemand zijn die bewust of onbewust de onderneming schade berokkent. Er is bijvoorbeeld geen security professional in de VS die aan protocollen durft te denken, zoals FTP of het versturen van wachtwoorden over internet. Veel Nederlandse bedrijven hebben hier totaal geen moeite mee. Ik geef toe: het klinkt een beetje overdreven, maar de Amerikaanse cultuur zorgt er wel voor dat zij op het gebied van informatiebeveiliging ver voorlopen op Nederland.
Wij kijken vaak wat cynisch naar de VS, maar het feit blijft dat veel van de maatregelen die daar ‘standard practice’ zijn, een aantal jaar later worden overgenomen door het Nederlandse bedrijfsleven. Helaas moet er nog te vaak eerst een incident plaatsvinden voordat het management wordt wakker geschud.
Ik pleit er zeker niet voor om de strikte benadering van de VS volledig over te nemen, maar het wordt wel tijd dat het Nederlandse bedrijfsleven zich wat minder naïef opstelt. Informatiebeveiliging moet een kwestie van gezond verstand zijn. Wetgeving kan hierbij helpen, maar om informatiebeveiliging weer hoog op de agenda van het management te krijgen is meer nodig. Security zou een structureel onderdeel moeten zijn van het beleid van iedere organisatie. Risico’s moeten regelmatig in kaart worden gebracht en er moeten passende maatregelen worden getroffen. Je verstoppen onder het bureau en hopen dat de organisatie niets overkomt, is in ieder geval geen oplossing.
Rob Brabers
Security Consultant bij Sincerus Consultancy
