Een taboe dat weg moet!

1396955_49065589

Interne openheid over securityincidenten noodzakelijk voor bewustmaking

door Michiel Panders |

De laatste tijd wordt steeds duidelijker dat IT-beveiliging niet alleen moet draaien om bedreigingen van buitenaf. De bedreigingen van binnenuit zijn net zo belangrijk. De risico’s van het IT-gebruik zijn ondanks alle publiciteit bij veel werknemers gewoon niet bekend. En uit recent onderzoek blijkt dat onwetendheid – en ook gemakzucht - een groot beveiligingsrisico vormen.

De situatie is wel te vergelijken met die rond een koffieautomaat. Wie bij ons op bezoek komt bieden we natuurlijk koffie aan. Niemand zal zich afvragen of die koffie wel veilig is. Is de automaat wel goed schoongemaakt? Zit er ergens schadelijke schimmel? Is de automaat wel legionella-vrij? Iedereen gaat er voetstoots vanuit dat het in orde is. We zijn allemaal opgevoed met ideeën over wanneer iets veilig is of juist niet. Daarom ‘weet’ iedereen dat bij ons de koffie veilig is, maar dat je in een tropisch land nooit ijs van een stalletje moet eten. Als je je dit verschijnsel realiseert is het niet zo gek dat mensen zich ook digitaal veilig wanen op hun werk.

Dit maakt ook duidelijk dat beveiliging niet draait om IT alleen. Veiligheidsbewustzijn is een belangrijk aandachtspunt voor het management. Maar als het om IT-beveiliging gaat, wordt het maar al te vaak als een probleem voor de IT-afdeling gezien. Een goed voorbeeld van een passende benadering is te vinden bij productiebedrijven. Daar heeft de veiligheid van de mensen altijd prioriteit. Zonder helm of beschermende kleding mag niemand de bouwplaats op of de productieruimte in. Dat wordt ook gecontroleerd en de mensen worden als het ware opgevoed over welke situaties gevaar kunnen opleveren en waar je voor moet uitkijken. En als er iets misgaat wordt er direct over gecommuniceerd.

Dat neemt niet weg dat ook de ‘IT-beschermingsmachine’ zo goed mogelijk wordt ingericht. Allereerst om zoveel mogelijk te voorkomen dat er schadelijke zaken tot het bedrijfsnetwerk kunnen doordringen. We weten dat een hek rond het bedrijfsnetwerk niet alles zal tegenhouden, al was het maar doordat werknemers (uit onwetendheid) zelf de poort openzetten. Dat moet de beschermingsmachine direct kunnen detecteren en actie ondernemen om de aanval af te slaan. Verder moet het mogelijk zijn om te inventariseren wat precies de impact is geweest en wie met kwaadaardige software in contact is gekomen.

Michiel Panders is Directeur Enterprise Cisco Nederland

De verleiding is misschien groot om dan maar de (online)mogelijkheden van werknemers in te perken. Dat is zeer onverstandig. Uit bovengenoemd onderzoek blijkt dat een aanzienlijk deel van de werknemers nu al vindt dat de beveiligingsmaatregelen van hun organisatie het werk in de weg zitten en de effectiviteit en innovatie aantasten. Bewustmaking is veel effectiever. Daarbij speelt het melden van incidenten – ‘bedrijfsongevallen’ – een grote rol. Het zijn gebeurtenissen waarvan de impact voor iedereen binnen de organisatie duidelijk moet zijn. Zeker als het incident te wijten is aan een nalatigheid moet iedereen weten hoe een hack heeft kunnen gebeuren, wat is precies er misgegaan, wat is de impact is op het bedrijf.

Dit is een zaak van het topmanagement van de organisatie, het raakt de reputatie van de organisatie en het heeft wellicht juridische aspecten. Ik realiseer ik me dat openheid - ook intern - over securityincidenten een flink taboe is. Geen enkele organisatie zal hier graag open over zijn. Toch moet dit taboe van tafel, anders zal het met die bewustmaking erg moeilijk worden. Terwijl die bewustmaking de organisatie erg veel oplevert op securitygebied. En dat is weer iets waar het topmanagement zich bewust van moet worden. Verlies daarbij niet uit het oog dat ook de IT-beschermingsmachine beter kan worden ingericht dan meestal het geval is.