Bij de volgende vraag wordt al snel gedacht aan de internetverbinding waardoor we al die mooie flashy internetsites lekker snel kunnen bekijken. Natuurlijk valt dat onder de volgende vraag:
Zijn alle externe verbindingen inzichtelijk?
Maar bedenk dat er tegenwoordig vele externe verbindingen zijn waardoor we als organisatie risico’s lopen op ongeautoriseerde toegang tot ons netwerk, onze systemen en onze informatie.
De firewall en de verbindingen die via die firewall lopen kunnen we nog wel managen (toch?). Maar hoe zit het met al die draadloze verbindingen die via een simpel routertje met de buitenwereld verbonden zijn? Hoe zit het met de koffiezetautomaten, kopieerapparaten en toegangsbeveiligingssystemen die tegenwoordig ook al snel een externe verbinding in zich hebben? Hebben we die ook allemaal inzichtelijk en managen we die?
Je bent het inmiddels waarschijnlijk wel van me gewend, ik ga niet in op de wijze waarop je deze verbindingen technisch dicht kunt zetten of met technische maatregelen zo goed mogelijk kunt beveiligen. Nee, we gaan in op andere risico’s. Namelijk die van de informatie die via die verbindingen benaderd kan worden, zonder daarbij volledig te willen zijn.
Vele leveranciers (en afnemers misschien ook) maken gebruik van de informatie in onze systemen. Deels weten we dat omdat die leverancier nu eenmaal onderdeel is van de keten en willen we de keten goed kunnen besturen dan is dat gewoon noodzakelijk. We sluiten daarvoor allerlei SLA’s af en zorgen dat er geheimhoudingsverklaringen getekend zijn. Hoewel hier natuurlijk ook vele risico’s en vele kanten aan zitten, geloof ik wel dat we hier nog redelijk inzicht in kunnen krijgen.
Maar juist die systemen waarvan je het niet verwacht: de koffiezetapparaten en kopieerapparaten bijvoorbeeld. Onder het mom van het beter kunnen onderhouden van die systemen communiceren ze met de leverancier. Na zoveel kopjes koffie of na zoveel kopietjes moet er onderhoud gepleegd worden. Maar wie zegt me dat deze gegevens betrouwbaar zijn? Wie zegt me dat de meters geijkt zijn…dat willen we in een taxi toch ook graag, want teveel willen we zeker niet betalen.
Natuurlijk wil ik niet alle leveranciers van dergelijke apparaten over dezelfde kam scheren. Het merendeel zal trouwens betrouwbaar en integer zijn (hoewel ze nog steeds veel gegevens verzamelen waarvan we ons nog te weinig bewust zijn). Nee, het gaat juist om die leveranciers die we toch wat minder kunnen vertrouwen. Die de metertjes net wat sneller laten draaien waardoor er eerder onderhoud nodig is of die de kopietjes uitlezen en aan je concurrent doorverkopen (want, ja ze worden opgeslagen op de harde schijf in het apparaat).
Kortom, stel jezelf nog maar een keer de vraag: Zijn alle, echt alle, externe verbindingen inzichtelijk? En zo ja, weten we ook welke echte risico’s we met die verbindingen lopen?
Oh, even voor de duidelijkheid. Ik ben helemaal niet tegen dit soort verbindingen en veel leveranciers kun je gewoon vertrouwen. Nee, als het bijdraagt aan reductie van (onderhouds)kosten en we meer zekerheid hebben dat we iedere morgen een “vers” bakje koffie kunnen drinken, dan ben ik er alleen maar voor…mits we de risico’s onderkennen, natuurlijk.