Computable.nl
  • Thema’s
    • Carrière
    • Innovatie & Transformatie
    • Cloud & Infrastructuur
    • Data & AI
    • Governance & Privacy
    • Security & Awareness
    • Software & Development
    • Werkplek & Beheer
  • Sectoren
    • Channel
    • Financiële dienstverlening
    • Logistiek
    • Onderwijs
    • Overheid
    • Zorg
  • Awards
    • Overzicht
    • Nieuws
    • Winnaars
    • Partner worden
  • Vacatures
    • Vacatures bekijken
    • Vacatures plaatsen
  • Bedrijven
    • Profielen
    • Producten & Diensten
  • Kennisbank
  • Magazine
  • Nieuwsbrief

Waarom security pas op de agenda komt nadat er duizenden kippen gekocht zijn

24 november 2014 - 09:554 minuten leestijdAdvertorialSecurity & Awareness
Redactie Computable
Redactie Computable

Security krijgt in de boardroom vaak niet de aandacht die het verdient. En dat terwijl je toch regelmatig in de kranten over cybercrime leest. Vandaag beschrijf ik drie redenen waarom C-level beslissers security niet op de agenda hebben.

Over deze blogger

Oorspronkelijk afkomstig uit Nieuw Zeeland, begon Ian Intragen in 2006 nadat hij bij verschillende bedrijven in de VS en Londen werkzaam was. Als Principal Consultant van Intragen heeft Ian gewerkt aan veel van de grootste projecten in Nederland en door heel West-Europa. Met een brede ervaring met kleine en grootschalige implementaties, zowel in de private als publieke sector, brengt hij een pragmatische aanpak voor problemen die rondom identity & access management-projecten optreden. Voordat hij Intragen begon werkte Ian voor wereldwijde leveranciers en adviesbureaus op het gebied van infrastructuur en security. 

Als specialist op het gebied van Identity en Access management hoor ik vaak van bijzondere beveiligingslekken, zoals bij Red Rooster in Australië. Bij het bedrijf nam een inkoper ontslag na een felle discussie. De man was zo boos dat hij besloot z’n baas eens een flinke financiële strop te bezorgen. Om dit te bewerkstelligen kocht hij diezelfde avond op naam van het bedrijf via het online bestelsysteem duizenden kippen bij verschillende kippenboeren in het land. Een oplettende leverancier detecteerde de bizarre order en zodoende werd de actie nog op tijd verijdeld. Maar Red Rooster zelf had niks in de gaten gehad. Ze waren hevig geschrokken door het incident en realiseerden zich dat ze hun inkopers wel erg veel macht hadden gegeven. Controlemechanismen ontbraken en zodoende werd er een project opgestart om te kijken wie nu over welke bevoegdheden beschikte. En ook het access management werd eindelijk onder de loep genomen.

Dit zie ik dus vaker: de leiding van het bedrijf wordt pas doordrongen van de noodzaak van een I&AM-project wanneer het eigenlijk al te laat is. Er moet altijd eerst een incident zijn en pas dan volgt er een beveiligingsproject. En dat terwijl het topmanagement meestal wel welwillend is om risico’s op het gebied van ICT af te dekken. Drie belangrijke oorzaken waarom I&AM vaak niet doordringt in de boardroom. 

  • Er is geen verantwoordelijke voor het thema: In het Verenigd Koninkrijk was er een aantal jaren geleden een incident waarbij de persoonsgegevens van 25 miljoen Britten op straat kwamen te liggen. Er werd onderzoek gedaan en uiteindelijk werd er door de minister gewezen naar een arme junior als eindverantwoordelijke. Het kan natuurlijk niet zo zijn dat hij inderdaad verantwoordelijk is voor al die gegevens. Iemand van een hoger niveau heeft hier de fout gemaakt door zo’n jongen dergelijke bevoegdheden te geven. Dit voorbeeld illustreert een trend, binnen bedrijven is er vaak niet één persoon verantwoordelijk voor ICT-beveiliging maar zijn de taken versnipperd over verschillende mensen en afdelingen. Het wordt nog erger doordat geen van deze mensen het mandaat heeft om dit thema op C-level te agenderen.
  • Een onjuist beeld van risico’s: De C-level-beslissers zijn vaak wat ouder, rond de vijftig jaar, en zijn daardoor minder goed bekend met ICT. Dat kan resulteren in een vals gevoel van veiligheid. Een stuitende opmerking die ik laatst kreeg kwam van een board member die vertelde dat er nog nooit een datalek gerapporteerd was. Het feit dat de mogelijke datalekken die er zijn niet gerapporteerd worden is tekenend voor het gebrek aan aandacht binnen deze organisatie voor de data-veiligheid. Maar ook wanneer er wél besef is dat er iets aan I&AM gedaan moet worden denken C-level spelers meestal aan de verkeerde risico’s. Ze menen bijvoorbeeld dat het gevaar van hackers en andere inbrekers komt, terwijl de meeste datalekken het gevolg zijn van handelen van de eigen medewerkers.
  • Kennis van oplossingen is vaak anekdotisch: De board heeft vaak weinig kennis van de beschikbare security hulpmiddelen. Wat ze kennen is gebaseerd op hun privé-ervaringen, bijvoorbeeld een antiviruspakket of een firewall. Maar ook als er wel onderzoek gedaan is, merken we dat het vaak om anekdotische informatie gaat. Ze hebben bijvoorbeeld kennis genomen van een mobile device management-oplossing, maar laten het WiFi-netwerk buiten schot. De enige juiste aanpak is alle aspecten mee te nemen, van de fysieke infrastructuur tot de directory-toegang. 

Deel

    Inschrijven nieuwsbrief Computable

    Door te klikken op inschrijven geef je toestemming aan Jaarbeurs B.V. om je naam en e-mailadres te verwerken voor het verzenden van een of meer mailings namens Computable. Je kunt je toestemming te allen tijde intrekken via de af­meld­func­tie in de nieuwsbrief.
    Wil je weten hoe Jaarbeurs B.V. omgaat met jouw per­soons­ge­ge­vens? Klik dan hier voor ons privacy statement.

    Whitepapers

    Computable.nl

    Slim verbonden en veilig georganiseerd

    Waarom connectiviteit en security onlosmakelijk verbonden zijn.

    Computable.nl

    Agentic AI in actie

    De stappen van automatiseren naar écht autonoom werken. Welke toepassingen zijn succesvol?

    Computable.nl

    Kies de juiste virtualisatie-aanpak

    Vergelijk drie krachtige open source-oplossingen: Proxmox, Kubernetes en OpenStack

    Eén reactie op “Waarom security pas op de agenda komt nadat er duizenden kippen gekocht zijn”

    1. Ben Suurd schreef:
      2 juni 2015 om 06:09

      Helaas wordt er hier alleen de logische security gekeken. Security is niet alleen logisch, fysiek of organisatorisch. Zonder integrale aanpak zal security nooit op C-level komen. Tevens dient er vanuit de business gekeken te worden naar risico’s en vandaar uit zal er een strategie worden bepaald.

      Login om te reageren

    Geef een reactie Reactie annuleren

    Je moet ingelogd zijn op om een reactie te plaatsen.

    Populaire berichten

    Meer artikelen

    Uitgelicht

    Partnerartikel
    AdvertorialData & AI

    AI in softwaretesten: tussen belofte e...

    De opkomst van kunstmatige intelligentie (AI) wekte hoge verwachtingen in de wereld van softwaretesten. Zelflerende testsuites, automatisch gegenereerde testgevallen en...

    Meer persberichten

    Meer lezen

    labhack
    AchtergrondSecurity & Awareness

    De labhack en de schade: wet versus digitale praktijk

    AchtergrondSecurity & Awareness

    Twee dagen volle bak met prominente ot-rol

    ActueelCarrière

    Kort: Kabinet steekt 430 miljoen in techindustrie, Defensie werft hackers (en meer)

    AchtergrondCarrière

    ‘Mbo’ers willen de it in, maar stagemuur houdt ze tegen’

    Liveblog Cybersec
    ActueelSecurity & Awareness

    Liveblog Cybersec 2025 – dag 2

    ActueelOverheid

    Kort: Oracle sky high dankzij Stargate, Amsterdamse Dyme naar Risk (en meer)

    ...

    Footer

    Direct naar

    • Carrièretests
    • Kennisbank
    • Planning
    • Computable Awards
    • Magazine
    • Ontvang Computable e-Magazine
    • Cybersec e-Magazine
    • Topics
    • Phishing
    • Ransomware
    • NEN 7510

    Producten

    • Adverteren en meer…
    • Jouw Producten en Bedrijfsprofiel
    • Whitepapers & Leads
    • Vacatures & Employer Branding
    • Persberichten

    Contact

    • Colofon
    • Computable en de AVG
    • Service & contact
    • Inschrijven nieuwsbrief
    • Inlog

    Social

    • Facebook
    • X
    • LinkedIn
    • YouTube
    • Instagram
    © 2025 Jaarbeurs
    • Disclaimer
    • Gebruikersvoorwaarden
    • Privacy statement
    Computable.nl is een product van Jaarbeurs