Minder branden in 2010

Vandaag maar weer eens een bericht van een heel andere orde. Veel meer gericht op de feiten en uiteindelijk vallend binnen het gebied van fysieke beveiliging. Maar ja, ook die draagt bij aan de continuïteit van de organisatie.

In 2010 ontving de brandweer bijna 151 duizend alarmmeldingen. In 44 procent van de gevallen was echter sprake van loos alarm. 41 duizend keer was er daadwerkelijk brand uitgebroken en bijna 44 duizend maal kwam de brandweer in actie voor diverse hulpverleningsactiviteiten.

In 2010 was 60 procent van alle brandmeldingen een loos alarm. Veruit het grootste deel daarvan, 48,5 duizend, kwam binnen via een automatische brandmeldinstallatie. Dit is 8 procent minder dan in 2009. Relatief veel loze meldingen komen uit verzorgings-/verpleeghuizen. (bron)

Als je dit zo leest dan zou je kunnen concluderen dat de brandweer soms drukker is met het beantwoorden van loos alarm dan met het daadwerkelijk blussen van branden. 48,5 duizend keer kwam er een loos alarm binnen van een automatische brandmeldinstallatie. Als we niet oppassen gaat dit dezelfde kant op als met de loos alarmmeldingen die via inbraakdetectiesystemen worden afgegeven.

De politie is er inmiddels mee gestopt om alle automatische inbraakmeldingen op te volgen. Te vaak bleek er loos alarm. Nu moet je dus eerst iemand gaan laten kijken voordat de politie met gillende sirenes aan komt rijden. Voor we het weten moet er straks ook bij een automatische brandmelding eerst geverifieerd worden of er ook echt brand is.

Ik geef het je te doen. Zit je net lekker achter je biefstukje in een restaurant gaat het brandalarm thuis af. Je krijgt een melding op je smartphone en voordat de brandweer uitrukt willen ze wel eerst zeker weten dat je huis ook echt in de fik staat. Flinke jongen als jij niet als een gek naar huis scheurt en eerst rustig je biefstukje op eet. Er zit niks anders op en je gaat op pad.

Dan zijn er twee opties: of je huis staat echt in de fik en de brandweer zal toch echt moeten komen, hoe vervelend dat ook voor ze is…ze hebben immers nog wat telefoontjes te beantwoorden. De andere optie is dat er niks of weinig aan de hand is en je de brandweer lekker op de kazerne kunt laten. In beide gevallen weet je dat je het lekkere biefstukje aan je neus voor bij kunt laten gaan.

We moeten ook niet vergeten dat nieuwe huizen tegenwoordig standaard worden uitgerust met rookmelders. Gevolg hiervan zal zijn dat de brandweer het alleen maar drukker krijgt de komende jaren. En dan te weten dat de bezuinigingen ook haar tol eisen bij de brandweer. Meer meldingen, minder middelen en nog minder geld. Heel benieuwd hoe ze dit op gaan lossen.

Negeren Windows updates nekt CheapTickets.nl

Gisteren hadden we het nog over de FBI-topman die graag een tweede internet wil omdat daar dan de kritieke systemen onderling veilig kunnen communiceren. Daarbij gaf ik ook al aan dat er naast zware technische aanvallen ook de simpelere aanvallen en fouten zorgen voor beveiligingslekken. Nu wil ik niet direct beweren dat CheapTickets tot de kritieke systemen moet worden gerekend, maar het onderbouwd wel het idee dat er nogal wat schort aan de basis van beveiliging bij bedrijven.

Door een niet gepatchte test-webserver lagen de gegevens van 715.000 klanten van CheapTickets.nl voor het grijpen, waaronder wachtwoorden en paspoortnummers. De Windows Server 2003 omgeving was niet up-to-date, waardoor een aanvaller via een lek uit 2009 toegang kreeg tot een back-up, met daarin de eerder genoemde gegevens, maar ook zaken als volledige naam, adres, woonplaats, maaltijdvoorkeur en telefoonnummer.

In een verklaring laat CheapTickets weten dat het om een testomgeving ging met consumentengegevens die gedurende de periode 2008 tot 2009 werden verzameld. De gegevens zouden inmiddels offline zijn gehaald. (bron)

Voor al die organisaties die besluiten om nog maar een dure firewall aan te schaffen moeten we natuurlijk eerst even op de rem gaan staan. Voordat je investeert in nog een technische maatregel moeten we eerst eens goed kijken naar de organisatorische en procedurele maatregelen.

De vragen die gesteld moeten worden zijn bijvoorbeeld:

  • Waarom was de Windows server niet up-to-date?
  • Waarom was de test omgeving gekoppeld aan het internet?
  • Waarom werd er gebruik gemaakt van echte gegevens en niet van fictieve gegevens?

Beantwoorden we die vragen dan zijn we op weg om de echte oorzaken van een dergelijk incident te achterhalen. De gevolgen mogen zich dan uitten in een security incident, de oorzaken liggen (zoals bij veel incidenten) buiten dit vakgebied.

Het betreft hier onder andere tekortkomingen in ontwikkeling en beheer. Misschien goed om toch nog eens te duiken in standaarden als de ITIL-processen en als we nog eens Googlen op best practices voor ontwikkeling en beheer dan vinden we ongetwijfeld ook nog wel wat slimme tips.

De lessen die wij zelf natuurlijk trekken is dat we updates sneller testen en doorvoeren, dat we de OTAP-omgevingen scheiden van de productie omgevingen en van het internet, dat we persoonsgegevens niet langer bewaren dan strikt noodzakelijk en dat als we dan toch willen testen we gebruik maken van fictieve gegevens. Doen we dat, dan zijn we al weer een aardig stuk op weg en had in ieder geval dit incident voorkomen kunnen worden.

Maar ja, misschien ook een goede les voor al die klanten. Beveiliging is een kwaliteitsaspect. Dan moet je niet gek opkijken dat je bij een prijsvechter een minder goede beveiliging kunt verwachten. Ze moeten het geld toch ergens vandaan halen en dat doen ze onder andere door weinig te investeren in informatiebeveiliging.

Helaas geldt dat niet alleen voor CheapTickets maar ook voor andere organisaties. De basis van beveiliging is (nog lang) niet op orde, maar met de huidige bezuinigingen en met de concurrentiestrategie die veel organisaties op dit moment voeren, wordt er niet geïnvesteerd in informatiebeveiliging en kunnen we dergelijke incidenten meer en meer verwachten.

FBI topman wil tweede internet voor kritieke systemen

Het zal nooit lukken om de netwerken van energiebedrijven en banken adequaat te beveiligen, een manier om de systemen te beschermen is het opzetten van een gescheiden en beveiligd internet.

“De uitdaging met het internet is dat je niet weet wie de aanval uitvoert”, aldus de FBI-topman. Een belangrijke maatregel is volgens hem het ontwikkelen van netwerken waar geen anonimiteit bestaat en waar alleen betrouwbare werknemers toegang toe hebben. (bron)

Nu ken ik niet de exacte achtergrond van de stelling die door de FBI-topman geroepen wordt, maar het klinkt toch een beetje vergezocht. Als we er voor zorgen dat alleen betrouwbare werknemers toegang hebben tot het tweede internet, dan kan ons niets gebeuren. Ja ja, maar wie kun je dan vertrouwen en is het niet zo dat iedereen zijn prijs heeft? Wil men dit tweede internet aanvallen dan infiltreert men in de organisaties die daar toegang toe hebben en we kunnen weer van vooraf aan beginnen. Waarschijnlijk wordt dit tweede internet ook wel weer ergens gekoppeld aan het huidige internet en anders dan breken we toch gewoon op een andere manier in bij die organisaties die over kritieke systemen beschikken?

Omdat we de bankovervallen niet kunnen voorkomen besluiten we om alle banken maar te sluiten en in een tweede afgescheiden dimensie onder te brengen. The Matrix…here we come. Maar is dit al niet geprobeerd met “Second Life” en wie hoort daar nog wat van? En als ik als klant van die bank nu wil internet bankieren…mag ik dat dan via het huidige internet of moet men mij eerst betrouwbaar genoeg vinden om toegang te krijgen tot het tweede internet?

Nee, ik hoop toch dat deze FBI-topman er andere gedachten bij heeft. De kritieke systemen kunnen we immers niet los zien van andere systemen, organisaties en processen. Bedenk alleen maar welke organisatie toegang mag hebben tot dit tweede internet. Waarom zij wel en wij niet?

Ik kan me er maar weinig bij voorstellen en ben benieuwd naar de vorderingen op dit gebied. Maar laten we eerlijk zijn, moeten we als organisaties er niet gewoon voor zorgen dat we zelf de boel beter op orde hebben? Natuurlijk zijn er zware technische aanvallen die moeilijk zijn tegen te houden. Maar kijken we naar de recente incidenten en de oorzaken daarvan dan moeten we misschien wel concluderen dat die niet veroorzaakt zijn door ingewikkelde aanvallen maar juist door simpele feiten en doordat veel organisaties de basis gewoon niet op orde hebben.

Voordat we dus gaan investeren in een tweede, veiliger, internet (dat uiteindelijk ook weer aangevallen zal worden), kunnen we er beter voor zorgen dat we de basis geregeld hebben. We kunnen er dus beter voor kiezen om onze voordeur gewoon op slot te doen voordat we besluiten onze waardevolle spullen in een ander gebouw onder te brengen (waar we dan ook de voordeur van moeten sluiten).

Gehackte insulinepomp levert fatale dosis aan patient

Informatiebeveiliging is natuurlijk voor veel mensen een ver-van-mijn-bed-show. Met name grote organisaties worden aangevallen en we hebben daar zelf weinig last van. Toch? Totdat hacking wel erg dichtbij komt. Je zult maar suikerpatiënt zijn, dan is het toch fijn om de risico’s te kennen.

Een beveiligingsonderzoeker heeft een manier ontdekt om insulinepompen te hacken, waardoor het mogelijk is een fatale dosis aan suikerpatiënten te geven. Het probleem bevindt zich in de insulinepompen van fabrikant Medtronic, die over een radiozender beschikken waardoor patiënten en doktoren de instellingen kunnen aanpassen. De aanval werkt over een afstand van honderd meter en laat de onderzoeker alle apparaten binnen dit gebied overnemen. Vervolgens kan Jack het apparaat het gehele insulinereservoir naar de patiënt laten pompen.

Fabrikant Medtronic laat weten dat het de veiligheid van de medische apparaten gaat verbeteren. Het risico op een aanval zou volgens het bedrijf echter klein zijn. (bron)

Erg prettig om te weten dat het bedrijf het risico op een aanval klein acht. Helaas zit risico management blijkbaar nog niet goed tussen de oren van deze onderneming. Risico management bestaat immers uit twee variabelen, te weten: kans en impact. De risico management strategie wordt dan vervolgens weer afgeleid uit de uitkomst. De praktijk wijkt hier toch wel erg ver af van de theorie.

In gewoon Nederland acht men de kans op een dergelijke aanval klein. Hartstikke goed, dat kan zo zijn, maar de impact is enorm. Er staan mensenlevens op het spel. Wil je dat als management op je geweten hebben? Lijkt me toch van niet.

Helaas is dit een bericht dat waarschijnlijk te beperkt aandacht zal krijgen in de media. Het zal er niet sexy genoeg voor zijn, er zijn niet genoeg mensen die dit willen weten en er zijn nog geen slachtoffers gevallen. Wat zou het toch mooi zijn als meer organisaties nadenken over de preventieve kant van beveiliging en niet wachten tot ze gedwongen worden de correctieve acties in te zetten.

Ondernemers verzaken goede beveiliging

Eind van de week en tijd om de IT-managers een hart onder de riem te steken. Kijken of het ons lukt om ze een rustig weekend te bezorgen zodat ze weer wat slaap van alle slapeloze nachten in kunnen halen.

Als IT-manager sta je niet alleen. Er vanuit gaande dat je als manager in dienst bent van een organisatie. De ondernemer (veelal dus de baas van de IT-manager) weet ook dat alles nog niet in kannen en kruiken is.

IT-systemen goed beveiligen is belangrijk, dat blijkt wel uit alle meldingen van inbraak en misbruik. Ondanks alle (met name technische) activiteiten zegt zeventig procent van de ondernemers over onvoldoende geschoold personeel, budget en kennis te beschikken waardoor de IT-systemen niet goed beveiligd zijn. Dertig procent van hen heeft niet eens antivirus-software geïnstalleerd. (bron)

Tijd dus om eens een goed gesprek met de ondernemer te hebben. Als IT-manager kun je met een gerust hart je zorgen uiten. Sterker nog, de ondernemer zal je dankbaar zijn. Tenzij hij jou natuurlijk ziet als bron van al het kwaad omdat hij jou schaart onder het onvoldoende geschoolde personeel (maar daar gaan we niet vanuit, want dan had je deze functie waarschijnlijk nooit gekregen).

Ook hierbij zien we weer dat ondernemers en managers nog te vaak redeneren vanuit de (technische) beveiligingsmaatregelen en niet vanuit de risico’s voor de organisatie. In de paniek en waan van de dag installeren we nog een firewall omdat dat nu eenmaal een gevoel van veiligheid geeft. We vergeten daarbij helaas nog wel eens te kijken naar onze kritische bedrijfsprocessen en kritische informatie.

Naast al deze technische beveiligingsmaatregelen zijn er nog een hele berg procedurele en organisatorische maatregelen te bedenken die bijdragen aan het beheersen van de risico’s. Deze maatregelen zijn veelal goedkoper dan technische maatregelen en leveren een hogere bijdrage aan de informatiebeveiliging. Toch worden ze nog vergeten omdat ze misschien minder voor de hand liggen dan een nieuwe firewall, een nieuw anti-viruspakket enzovoorts.

Als we kunnen accepteren dat beveiliging een bedrijfskundig aspect is dan valt er een last van onze schouders. Natuurlijk kijken we eerst tegen een berg aan waar we overheen moeten, maar we zullen zien dat als we eenmaal halverwege die berg zijn de weg naar boven minder steil is dan gedacht.

Wil je als IT-manager (of Security Manager) slagen slaan, dan moeten we dus gaan kijken vanuit de risico’s van de organisatie. Dat is in het begin misschien lastig (uiteraard help ik je daar graag bij, misschien is een risk awareness sessie wat voor jou…maar goed ik schrijf hier niet om mijzelf te verkopen).

Nu het toch vrijdag is, kun je misschien een uurtje vrij maken om eens na te denken over de risico’s waar je wakker van ligt. Je ligt niet wakker van de technische maatregel, maar je ligt wakker van het bijbehorende risico. Hebben we die eenmaal inzichtelijk dan gaan we daarna wel eens denken over de juiste set beveiligingsmaatregelen om dat risico af te dekken.

Geloof me, al snel zul je tot de conclusie komen dat er meer onder de zon is dan nog een technische beveiligingsmaatregel. Je hebt dus niet nog meer techneuten nodig om de boel veilig te houden, nee je hebt bedrijfskundigen nodig die jou bij gaan staan (nou ja, nog een keer dan: je mag me altijd een mailtje sturen).

Ik wens alle managers een rustig weekend waarin ze wat slaap in kunnen halen.

Afhankelijkheid van securitybedrijven onwenselijk

Deze week hebben we gezien dat de IT-manager vol staat van de stress omdat hij ook niet meer weet waar hij het moet zoeken op het gebied van informatiebeveiliging. Gelukkig zijn er gespecialiseerde bedrijven die graag willen helpen. Helaas denkt Minister Opstelten daar anders over.

Minister Ivo Opstelten van Veiligheid en Justitie vindt het onwenselijk dat de ict-veiligheid van de overheid afhankelijk is van externe bedrijven als Fox-IT. Het zou echter niet rendabel zijn om deze expertise in de eigen organisatie onder te brengen. (bron)

Nu zou je natuurlijk kunnen concluderen dat de Minister geen gebruik meer wil maken van externe gespecialiseerde bedrijven. Maar dat is zeker niet zoals ik het interpreteer. Zelf geeft hij ook al aan dat “In gevallen waarin dergelijke expertise vereist is, is de inhuur van externe expertise veelal een kostenefficiënte oplossing.”

Natuurlijk zou je als overheid (of als grote organisatie) de kennis zelf in huis willen hebben. In dat licht bezien is de afhankelijkheid inderdaad onwenselijk. Maar kijken we naar de meest kostenefficiënte oplossing dan ontkom je er niet aan om nauw samen te werken.

Met name in het “nauw samenwerken” zitten hem de voordelen. Als geld inderdaad niet uit zou maken, dan wil je de kennis helemaal zelf in huis hebben, maar wat als je te weinig gebruik maakt van die kennis? Gaan die specialisten het hele jaar zitten wachten totdat ze hun kunstje mogen doen? Nee, natuurlijk niet. Ze zouden al snel achterlopen op de feiten. Een samenwerking is daarom zo gek nog niet.

Waar hem eerder een punt zit, is het feit dat er veelal achteraf een gespecialiseerd bedrijf wordt ingeschakeld. Het incident heeft plaatsgevonden en we moeten snel tot oplossingen komen. Een kwestie van vraag en aanbod. Ineens is er veel vraag terwijl het aanbod beperkt blijft. De prijzen schieten omhoog.

Nee, prima dat we de brandweer bellen als er brand is. Maar ik zie liever dat we in de preventieve sfeer op zoek gaan naar die mogelijkheden om incidenten te voorkomen. Dat doen we dan weer niet met alleen maar technische maatregelen. Nee, we doen dat op basis van risico management en komen dan tot de juiste set technische, procedurele, organisatorische, bouwkundige en elektronische maatregelen.

Voor die IT-managers die bol staan van de stress geldt dit natuurlijk ook. Ga niet wachten tot je verrast wordt door een incident. De kosten voor het oplossen daarvan zijn enorm. Nee, kies ervoor om de risico’s te beheersen door preventief aan de slag te gaan.

Ja, natuurlijk weet ik het. Er wordt flink bezuinigd op de budgetten voor informatiebeveiliging. Daar lijkt weinig aan te doen. Tenzij we in onze business cases ook inzichtelijk kunnen maken wat het oplossen van een incident eigenlijk kost. Niet alleen in directe kosten maar juist ook in termen van imagoverlies, omzetverlies, kosten die doorlopen terwijl we niet kunnen produceren, klanten die weglopen, etc.

Kwart werknemers zou bedrijfsgeheimen verkopen

Het lijkt erop of we deze week nieuwsberichten aanhalen die ervoor zorgen dat de IT-managers het beveiligen van de gegevens alleen maar als nog stressvoller gaan ervaren. Dat is uiteraard niet de bedoeling, want er zijn echt mogelijkheden om de specifieke risico’s voor jouw organisatie goed in kaart te brengen. Ga dus uit van de risico’s en niet van de maatregelen. Een helikopterview wil daarbij nog wel eens helpen.

Een kwart (25 procent) van de werknemers is bereid bedrijfsgeheimen te verkopen…Dat blijkt uit onderzoek van Monster (in Nederland bekend als Monsterboard.nl) onder bijna 5000 respondenten wereldwijd…
Van de ondervraagden zegt 8 procent zelfs al eens bedrijfsgeheimen te hebben verkocht, terwijl 17 procent aangeeft in te gaan op een aanbod om bedrijfsgevoelige informatie te verkopen, wanneer de kans daartoe zich voordoet.
(bron)

Helaas staat er niet bij waarom de medewerkers bereid zijn om de bedrijfsgeheimen te verkopen. Nu zijn het interessante gegevens waar een IT-manager inderdaad gestrest van zou kunnen raken. We zullen dus op zoek moeten naar de redenen achter de mogelijke verkoop van bedrijfsgeheimen.

Komt het misschien omdat we de medewerkers onvoldoende belonen? Komt het misschien omdat zij het zwaard van Damocles boven het hoofd zien hangen en vrezen voor de volgende reorganisatie? Komt het misschien omdat de bedrijfscultuur ook niet meer is wat hij ooit geweest is? Komt het omdat de medewerkers zich niet meer gewaardeerd voelen? Of zijn er andere redenen te vinden?

Feit is wel dat dergelijke incidenten al snel onder security incidenten worden geschaard. Maar hierbij moeten we iets verder doordenken. Veelal zien we dat de gevolgen inderdaad als security incident gezien kunnen worden. We geven de Security Manager opdracht hier iets aan te doen. Al snel komen er allerlei ingewikkelde technische maatregelen voorbij om de gegevens beter te beveiligen.

Een optie, dat zeker, maar kunnen we de Security Manager hier wel verantwoordelijk voor maken? Vaak zullen we zien dat de oorzaak van een incident zich helemaal niet bevindt in het security gebied. Neem het verkopen van bedrijfsgeheimen als voorbeeld. Dit is een organisatorisch probleem. We moeten ervoor zorgen dat de medewerker zich weer verbonden voelt met onze organisatie. We moeten voorkomen dat hij zijn ziel zomaar aan de “duivel” verkoopt.

De cultuur binnen het bedrijf zegt veel, ook als het gaat om de status van de informatiebeveiliging. De Security Manager heeft maar beperkte invloed op die cultuur, we kunnen hem of haar daar dan ook niet verantwoordelijk voor stellen.

Na een incident is het maar al te makkelijk om te wijzen naar de Security Manager, die heeft gefaald (althans, dat is het beeld). Het is de taak van de Security Manager om de verantwoordelijkheid voor beveiliging in de lijnorganisatie te beleggen. Na een incident moeten we niet de Security Manager op straat gooien, nee we moeten hem verzoeken het incident grondig te onderzoeken en tot de grondoorzaken te komen. Ook als we die oorzaken eigenlijk liever niet willen horen.

De kans is immers groot dat het niet zo zeer schort aan informatiebeveiliging maar aan verkeerde keuzes op managementniveau. De medewerkers zijn helaas inderdaad vaak de zwakste schakel, maar dat mag je hen niet kwalijk nemen. Het is onze taak om er, gezamenlijk met alle andere managers, voor te zorgen dat de cultuur goed is omdat we daarmee het risico op dergelijke incidenten verkleinen.

Een mogelijke meldplicht voor digitale inbraken

De discussie is al meerdere malen gevoerd en zal waarschijnlijk ook nog vaker gevoerd worden als de meldplicht voor digitale inbraken niet van de grond komt. Het blijft een interessant onderwerp met voors en tegens. Maar laten we iets verder kijken dan onze neus lang is.

De Europese Commissie wil vanaf volgend jaar richtlijnen om het vertrouwen in certificaat-autoriteiten als DigiNotar in de toekomst te herstellen. Eurocommissaris Neelie Kroes denkt verder na over een mogelijke meldplicht voor digitale inbraken…

Een Iraanse hacker kraakte dit jaar de Nederlandse ssl-autoriteit DigiNotar en wist daardoor honderden vervalste certificaten aan te maken. De kritiek op het handelen van DigiNotar was groot en het bedrijf ging failliet. Securitybedrijven pleiten als reactie op de problemen voor beveiligingsstandaarden. Verder denkt het Nederlandse parlement na over de oprichting van een zogeheten ‘ict-brandweer’. (bron)

Kijken we terug naar het bericht dat we gisteren aanhaalden. Dan is het niet zo gek dat de IT-managers het onderwerp zo stressvol vinden. Je gaat er toch vanuit dat jouw leverancier van certificaten het goed voor elkaar heeft. Helaas weten we inmiddels beter. Maar trek deze lijn eens door. Gaan we er ook niet vanuit dat onze energieleverancier het goed voor elkaar heeft? Willen we niet zeker zijn van een bepaalde stroomvoorziening?

Geloof me, deze vraag gaat veel verder dan je certificaat-leverancier en je energiemaatschappij. Het geldt uiteindelijk voor de gehele keten. Wij als organisatie kunnen het nog zo goed voor elkaar hebben, maar als onze leveranciers en afnemers er minder aan doen, dan komt het al snel onder druk te staan.

We hebben de leveranciers nodig om onze eigen producten en diensten te kunnen leveren. We hebben de afnemers nodig om onze producten en diensten aan te kunnen verkopen. Allemaal geen hogere wiskunde natuurlijk. Maar wat als we de leveranciers onder druk zetten? Zij moeten nog goedkoper gaan leveren omdat we anders niet op prijs kunnen concurreren. Drie keer raden waar zoal op beveiligd wordt.

We haalden het al vaker aan. Informatiebeveiliging is gewoon een bedrijfskundig onderdeel dat we af moeten stemmen op onze strategie. Daar zit hem, in de huidige economie, wellicht een knelpunt. Er zijn verschillende concurrentiestrategieën (focus, differentiatie en prijs).

Veel organisaties kiezen op dit moment voor een prijsstrategie. Blijkbaar kunnen zij zich onvoldoende onderscheiden en blijkbaar durven ze geen keuze te maken voor bepaalde marktsegmenten. Kiezen we inderdaad voor “prijs” dan moeten we de keten onder grote druk zetten om maar zo goedkoop mogelijk te leveren. Dan gaan we al snel bezuinigen op kwaliteit…en daar is informatiebeveiliging onderdeel van.

Manager vindt scheiden minder stressvol dan IT-security

Een opmerkelijk bericht dat ik vorige week onder ogen kreeg.

72% van de IT-managers vindt een klein auto-ongeluk, persoonlijke schuld of een scheiding minder stressvol dan het verantwoordelijk zijn voor en beschermen van bedrijfsgegevens. Voor 14% is het zelfs minder stressvol om ontslagen te worden dan als IT-manager actief te blijven. Dat beweert beveiligingsbedrijf Websense in een nieuw onderzoek.

Bijna negentig procent van de duizend ondervraagde managers zegt dat hun baan risico loopt als er een beveiligingsincident plaatsvindt, waaronder als er vertrouwelijke gegevens van de CEO of andere bestuurders wordt gestolen. Verder stelt dertig procent dat hun onderneming 100% beveiligd is, terwijl vijftig procent stelt dat ze over voldoende bescherming beschikken, maar dat sommige dreigingen er altijd doorheen zullen glippen. (bron)

Blijkbaar speelt er zich nogal wat af in de hoofden van IT-managers. Op zich ook niet zo vreemd natuurlijk. Met de huidige economische situatie wordt er flink bezuinigd. Ook op het gebied van informatiebeveiliging. Het is eerder pappen en nat houden dan op basis van de onderkende risico’s aan de slag gaan.

Wat misschien nog wel erger is, is dat 30% denkt dat ze 100% beveiligd zijn. Klinkt toch als onze kop in het zand steken. Geen enkele organisatie is 100% beveiligd. Dat komt omdat we nu eenmaal risico’s lopen. Zeer verschillende risico’s.

Denk alleen maar aan risico’s van natuurlijke aard (storm, hagel, overstroming). De natuur kunnen we nog steeds niet beïnvloeden. Dus lopen we risico’s. Daarnaast hebben we nog de risico’s van meer persoonlijke aard. Daarbij kunnen we dan weer onderscheid maken tussen eigen medewerkers en buitenstaanders, maar ook bewuste en onbewuste fouten. Kleine kans dat we die allemaal onder controle hebben.

Als het inderdaad allemaal zo stressvol is, dan is het een goed idee om toch eens een goede nulmeting uit te voeren. Zo kom je er vanzelf achter waar nog eventueel de blinde vlekken zitten. Het is niet zozeer de vraag of die blinde vlekken er zijn, maar meer waar zich die bevinden. Daarbij kijken we dan weer naar de beveiliging van geautomatiseerde, niet geautomatiseerde data maar natuurlijk ook naar de personele en materiële beveiliging.

Ik moet de organisatie nog tegenkomen die het over de hele linie goed voor elkaar heeft. Dat is natuurlijk niet erg, als we maar niet onze kop in het zand steken en denken dat wij geen risico’s lopen. Vergeet niet: het grootste risico’s is het risico dat we niet onderkend hebben…

Richtlijnen voor mobiel werken

De afgelopen 124 blogs zijn we door vragen gelopen om meer zicht te krijgen op de status van informatiebeveiliging binnen jouw organisatie. We zijn nu aanbeland bij de laatste vraag die in gaat op de richtlijnen voor mobiel werken. Ik wil zeker niet beweren dat je met het beantwoorden van de gestelde vragen alle aspecten van de beveiliging hebt afgedicht, maar ga wel beweren dat je al een redelijk beeld hebt en weet waar nog aandachtspunten liggen.

Met het nieuwe werken ontstaan er weer nieuwe vragen en risico’s. Daarom is de laatste vraag ook geen onverwachte:
Zijn er richtlijnen voor mobiel werken (thuiswerken, telewerken)?

Ook voor deze vraag geldt weer dat we vanuit beveiliging ontwikkelingen niet tegen moeten willen houden. Sterker nog, we kunnen ze niet eens tegenhouden al zouden we willen. We kunnen dus beter accepteren dat we er iets mee moeten. En het zal je inmiddels niet verrassen: het begint allemaal weer met het in kaart brengen van de risico’s.

De vraag die we stellen en die we beantwoord moeten zien te krijgen is bijvoorbeeld welke risico’s thuis werken met zich meebrengt. Daarnaast kunnen we nog kijken naar het mobiele werken. Er is verschil en er zijn dus ook verschillende risico’s.

Bij thuis werken willen we natuurlijk niet dat de werkplek ook door de zoon des huizes gebruikt wordt om eens lekker over het internet te surfen. Voor je het weet is de laptop target geworden van hackers en licht onze informatie op straat. Bij het mobiele werken willen we bijvoorbeeld niet dat iemand over de schouder van een medewerker mee leest.

Zijn dit alle risico’s en zijn de risico’s onoverkomelijk? Nee, dat zeker niet. We moeten ze alleen in kaart brengen, risico’s accepteren en waar nodig aanvullende beveiligingsmaatregelen implementeren. Niet om een onneembare vesting te maken, maar om het nieuwe werken op een zo veilig mogelijke wijze mogelijk te maken. Zo nieuw is dat nu ook weer niet, toch?

Dat vergt een andere aanpak van informatiebeveiliging. Maar het vergt ook een andere manier van managen. We zullen zien dat de gevolgen van vele risico’s zich uiten in beveiligingsincidenten. De oorzaak zal echter vaak buiten het beveiligingsveld liggen. Ook voor de risico’s van het mobiele werken moeten we dus naar de oorzaak, de echte oorzaak.

Kwestie van doorvragen dus. Doen we dat goed dan zullen we zien dat ook het mobiele werken gewoon past binnen de andere ontwikkelingen. Wie kent de tijd nog dat we het mainframe verlieten. De wereld was te klein en de risico’s te groot. Inmiddels zijn we al een aantal stappen verder en al vaker hebben we geroepen dat er onacceptabele risico’s genomen worden. Na verloop van tijd hebben we de risico’s redelijk tot goed in het vizier en weten we ook weer hoe we ze moeten managen. De rust keert terug en het is wachten op de nieuwe veranderingen…om vervolgens weer in dezelfde stress te schieten.

Een geruststellende gedachte. Bij elke nieuwe ontwikkeling kunnen we weer de 125 gestelde vragen als uitgangspunt nemen. Misschien moeten we nog wat vragen toevoegen, maar de basis blijft gewoon geregeld.

Nu we alle vragen hebben gesteld gaan we natuurlijk niet stoppen met het schrijven over informatiebeveiliging. We gaan weer op zoek naar nieuwe onderwerpen en nieuwe vragen. Mocht je zelf een vraag hebben dan hoor ik die natuurlijk graag. Je kunt me bereiken via thimo@keizert.nl