Het gaat niet goed met de beveiliging in Nederland als ik onderstaand bericht mag geloven.
Ruim tweederde (36 procent) van de Nederlandse medewerkers vindt hun organisatie kwetsbaar op het gebied van beveiliging. Dat is een stijging van vijf procent ten opzichte van vorig jaar…Ook blijkt dat 53 procent van de bedrijven hun beveiligingsbeleid niet afstemt op de beveiligingsrisico’s…Bijna de helft (46 procent) van de werknemers van grote bedrijven (250+ werknemers) vindt de organisatie waarin zij werken kwetsbaar (bron).
Helaas geeft dit bericht geen definitie van wat er onder beveiliging wordt verstaan. Maar kijkend naar degene die dit onderzoek heeft uitgevoerd (Securitas) ga ik er vanuit dat het hier de fysieke beveiliging betreft. Op zich maakt het niet zoveel uit want mijn onderbuikgevoel zegt dat dit net zo goed geldt voor informatiebeveiliging.
De afgelopen jaren is er veel geïnvesteerd in allerlei beveiligingsmaatregelen. Nieuwe sloten op de deur, een nieuwe firewall en je kunt het zo gek niet bedenken. Toch lijkt het er op dat deze aanpak geen enkele meerwaarde heeft. Medewerkers vinden de bedrijven eerder kwetsbaarder geworden dan beter beveiligd.
Nu zitten er natuurlijk altijd twee kanten aan een verhaal. Enerzijds de perceptie van die medewerker en anderzijds de echte status van de beveiliging. Feit is wel dat de medewerker er in ieder geval niet gerust op is.
Dat kan betekenen dat de medewerker zelf meer zicht krijgt op beveiliging, door allerlei nieuwsberichten gaat hij beter om zich heen kijken en ook beter begrijpen wat beveiliging nu eigenlijk is. Maar dat kan ook betekenen, en dat ondersteund het verhaal wat ik wel vaker verteld heb, dat er een berg schijnveiligheid bij de bedrijven leeft.
In de praktijk zie ik allerlei bedrijven druk doende met beveiligingsmaatregelen (hoewel dat met de economische situatie ook minder is dan een paar jaar geleden, maar dat trekt wel weer bij). Te weinig wordt de link gelegd tussen de maatregelen aan de ene kant en de operationele risico’s aan de andere kant. Om het te verduidelijken: we voeren nog wel eens de discussie over een firewall. De organisatie vindt dat ze zo’n ding moeten hebben (want iedereen heeft er toch één?). Er wordt budget vrijgemaakt en de firewall wordt aangeschaft. We zijn veilig, ja schijnveilig maar meer ook niet. Vergeten wordt dat zo’n firewall procedureel beheerd moet worden en dat er iemand voor verantwoordelijk moet worden gesteld. De firewall moeten we onderbrengen in een beveiligde ruimte met een alarmsysteem er op.
Te vaak zien we dat de firewall werkt…ja inderdaad het groene lampje brandt en hij krijgt dus stroom. Te weinig zien we dat de organisatie nu ook echt weet wat die firewall doet, welke risico’s hij afdekt, hoe hij beheerd wordt, welke patches en updates doorgevoerd zijn en ga zo nog maar even door.
We kunnen organisaties alleen minder kwetsbaar maken als we redeneren vanuit de operationele risico’s (en in mijn optiek nog liever vanuit de zogenaamde “enterprise risks” zijnde omzet en kosten). We moeten bezien welke risico’s de bedrijfsprocessen in gevaar kunnen brengen en op basis daarvan kunnen we een set beveiligingsmaatregelen implementeren. Niet een firewall maar een set bestaande uit technische, procedurele, organisatorische, bouwkundige én elektronische maatregelen.
Als ons dat lukt, dan zijn we veiliger geworden en dat is makkelijker gezegd dan gedaan.
Het advies aan alle ondernemingen? Stop per direct met het domweg implementeren van beveiligingsmaatregelen en redeneer vanuit de risico’s om tot de juiste set te komen. Dit zorgt voor een betere beveiliging tegen lagere kosten…en voor degene die dat leuk vindt: ik heb er kort geleden een whitepaper over geschreven, als je geïnteresseerd bent…laat het me weten.