Het belang van ict-security voor de bedrijfsvoering mag anno 2016 wel als bekend worden verondersteld. Toch zijn meldingen van beveiligingsincidenten of zelfs van kwetsbaarheden niet bepaald populair bij het hogere management. Deze impopulariteit geldt zowel voor goedbedoelende buitenstaanders die zwakke plekken ontdekken en melden, als voor interne ict’ers en security-experts die beveiligingskwesties aankaarten.
Professionals op ict-beveiligingsgebied staan dan ook onder druk wat de interne rapportage betreft. Stijgende aandacht voor cybersecurity geeft misschien wel meer werkdruk, maar de echte spanningen in ict-securitywerk worden veroorzaakt door de moeilijke gesprekken met senior management over de gevolgen van hackaanvallen. Dit blijkt uit onafhankelijk onderzoek in opdracht van securityleverancier Palo Alto Networks. Bestuurders blijken in de praktijk niet zo open te staan voor ict-beveiligingsmeldingen. Wat vind jij?
Reacties
Het hoeft wellicht geen (significante) extra werkdruk te betekenen als het cyber security team goed inzicht heeft in de dreiging (soort, target, etc), security logs automatisch worden gevalideerd en acties nav een breach worden gepriotiseerd en geautomatiseerd. Droomscenario?
De ontkenning van een manager kan veroorzaakt worden door angst voor de consequenties van een security issue. Vooral wanneer de specialist (ook) geen sluitende oplossing heeft. Nu is angst een slechte raadgever dus is het onder ogen zien van de risico's een noodzaak. Zolang de schade beperkt blijft is ook het risico beperkt. Echter: net als bij de boekhouding één cent verschil een "systeemfout" betekent, is dat ook het geval bij onbepaalde security risico's.
Er zijn twee wegen open: verder leven met de huidige symptoombestrijdingssoftware en via incrementele verbeteringen een acceptabel risico trachten te handhaven òf een intrinsiek veilig systeem ontwikkelen.
Dat laatste is minder moeilijk dan het lijkt en een unieke kans voor zowel de samenleving, het onderwijs en het onderwijs. Maar dan moet wel de eerste stap gezet worden...