Beveiliging bedrijven steeds kwetsbaarder

Het gaat niet goed met de beveiliging in Nederland als ik onderstaand bericht mag geloven.

Ruim tweederde (36 procent) van de Nederlandse medewerkers vindt hun organisatie kwetsbaar op het gebied van beveiliging. Dat is een stijging van vijf procent ten opzichte van vorig jaar…Ook blijkt dat 53 procent van de bedrijven hun beveiligingsbeleid niet afstemt op de beveiligingsrisico’s…Bijna de helft (46 procent) van de werknemers van grote bedrijven (250+ werknemers) vindt de organisatie waarin zij werken kwetsbaar (bron).

Helaas geeft dit bericht geen definitie van wat er onder beveiliging wordt verstaan. Maar kijkend naar degene die dit onderzoek heeft uitgevoerd (Securitas) ga ik er vanuit dat het hier de fysieke beveiliging betreft. Op zich maakt het niet zoveel uit want mijn onderbuikgevoel zegt dat dit net zo goed geldt voor informatiebeveiliging.

De afgelopen jaren is er veel geïnvesteerd in allerlei beveiligingsmaatregelen. Nieuwe sloten op de deur, een nieuwe firewall en je kunt het zo gek niet bedenken. Toch lijkt het er op dat deze aanpak geen enkele meerwaarde heeft. Medewerkers vinden de bedrijven eerder kwetsbaarder geworden dan beter beveiligd.

Nu zitten er natuurlijk altijd twee kanten aan een verhaal. Enerzijds de perceptie van die medewerker en anderzijds de echte status van de beveiliging. Feit is wel dat de medewerker er in ieder geval niet gerust op is.

Dat kan betekenen dat de medewerker zelf meer zicht krijgt op beveiliging, door allerlei nieuwsberichten gaat hij beter om zich heen kijken en ook beter begrijpen wat beveiliging nu eigenlijk is. Maar dat kan ook betekenen, en dat ondersteund het verhaal wat ik wel vaker verteld heb, dat er een berg schijnveiligheid bij de bedrijven leeft.

In de praktijk zie ik allerlei bedrijven druk doende met beveiligingsmaatregelen (hoewel dat met de economische situatie ook minder is dan een paar jaar geleden, maar dat trekt wel weer bij). Te weinig wordt de link gelegd tussen de maatregelen aan de ene kant en de operationele risico’s aan de andere kant. Om het te verduidelijken: we voeren nog wel eens de discussie over een firewall. De organisatie vindt dat ze zo’n ding moeten hebben (want iedereen heeft er toch één?). Er wordt budget vrijgemaakt en de firewall wordt aangeschaft. We zijn veilig, ja schijnveilig maar meer ook niet. Vergeten wordt dat zo’n firewall procedureel beheerd moet worden en dat er iemand voor verantwoordelijk moet worden gesteld. De firewall moeten we onderbrengen in een beveiligde ruimte met een alarmsysteem er op.

Te vaak zien we dat de firewall werkt…ja inderdaad het groene lampje brandt en hij krijgt dus stroom. Te weinig zien we dat de organisatie nu ook echt weet wat die firewall doet, welke risico’s hij afdekt, hoe hij beheerd wordt, welke patches en updates doorgevoerd zijn en ga zo nog maar even door.

We kunnen organisaties alleen minder kwetsbaar maken als we redeneren vanuit de operationele risico’s (en in mijn optiek nog liever vanuit de zogenaamde “enterprise risks” zijnde omzet en kosten). We moeten bezien welke risico’s de bedrijfsprocessen in gevaar kunnen brengen en op basis daarvan kunnen we een set beveiligingsmaatregelen implementeren. Niet een firewall maar een set bestaande uit technische, procedurele, organisatorische, bouwkundige én elektronische maatregelen.

Als ons dat lukt, dan zijn we veiliger geworden en dat is makkelijker gezegd dan gedaan.

Het advies aan alle ondernemingen? Stop per direct met het domweg implementeren van beveiligingsmaatregelen en redeneer vanuit de risico’s om tot de juiste set te komen. Dit zorgt voor een betere beveiliging tegen lagere kosten…en voor degene die dat leuk vindt: ik heb er kort geleden een whitepaper over geschreven, als je geïnteresseerd bent…laat het me weten.

Hoe kmo’s hun IT kunnen beveiligen

Vandaag maar eens een internationaal bericht. Zo ver over de grens hoefden we nu ook weer niet te gaan, maar toch.

Cybercriminelen richten hun pijlen ook op kleine ondernemingen. Beveiligingsspecialist Trend Micro formuleert beveiligingstips waarmee de kmo zich beter kan wapenen tegen cyberaanvallen, interne beveiligingslekken en internetmisbruik. Uit de tips van Trend Micro komt naar voren dat beveiliging bovenal een dynamisch gegeven is dat staat of valt met de efficiënte samenwerking tussen bedrijf en reseller (bron).

Nu vraag je je misschien af: what on earth is KMO. Simpelweg is dat het Belgische equivalent van ons MKB. KMO staat dus voor kleine of middelgrote ondernemingen.

Het kan zeker geen kwaad om voor hen nog even op een rijtje te zetten wat ze zoal aan beveiliging kunnen doen. Trend Micro komt met het volgende overzicht:

  1. Hou deuren en ramen gesloten (of in dit geval: firewall, beveiligingssoftware en antispam)
  2. Stel een veiligheidsbeleid op
  3. Pak sociale media aan
  4. Bescherm met wachtwoorden
  5. Wees kritisch over internetbeveiliging
  6. Vraag werknemers om hulp
  7. Blijf up-to-date
  8. Wees een voorbeeld

Op zich weinig nieuws onder de zon en waarom ze dit advies specifiek voor kleine en middelgrote organisaties de wereld in slingeren weet ik ook niet. Hoeven de grote organisaties hier dan ineens niet aan te voldoen? Ach, lijkt me wel. Waarschijnlijk stond er weer een actiepunt op de agenda: persbericht versturen en dat punt is nu weer afgedaan.

Continue herhaling van dit soort adviezen draagt bij aan het bewustzijn, daarom hierbij weer mijn steentje bijgedragen. En voor die KMO-er of MKB-er die er eens over wil sparren, ik hoor graag van jullie (ook van de grote organisaties trouwens).

Wat ik dan persoonlijk weer jammer vind aan dit soort berichten is dat te weinig gekeken wordt naar het speelveld van die ondernemer. Natuurlijk kunnen we roepen dat beveiliging zo belangrijk is en in hun achterhoofd weten ze dat ook allemaal wel. Waar we ons vanuit de branche meer en meer op moeten richten is aansluiting zoeken bij hun belevingswereld. Dat klinkt misschien abstract maar eigenlijk is het heel simpel:
Als we willen dat beveiliging landt in organisaties moeten we steeds de koppeling leggen met omzetverhoging en/of kostenverlaging, als ons dat lukt hebben we meerwaarde gecreëerd voor de ondernemer en zal hij ons met open armen ontvangen. Tot die tijd blijft het vechten tegen de bierkaai.

Beveiligingstips voor kopieermachines

Een nog vaak onderschat risico is het risico van kopieermachines. Natuurlijk maken we ons personeel ervan bewust dat ze vertrouwelijke gegevens niet op het apparaat achter moeten laten, maar ook technisch zitten er risico’s aan.

Niet alleen bevatten meer en meer kopieerapparaten een harde schijf waarop de kopietjes digitaal worden opgeslagen. Nee ook beschikken meer apparaten over een netwerkaansluiting zodat de leverancier op afstand onderhoud kan plegen. Op zich niets mis mee natuurlijk want dat scheelt een hoop voorrijkosten. Toch kleeft juist hieraan een risico. Het apparaat hangt vaak in een onbeveiligd netwerk, niet alleen kan de leverancier erbij (die je hopelijk kunt vertrouwen), nee met een klein beetje moeite staat het apparaat open voor de hele buiten wereld.

Het is te vergelijken met het instellen van routers en modems, daarbij wordt nogal eens vergeten het inlogaccount en het standaard wachtwoord te wijzigen. Zo ook met kopieerapparaten. Natuurlijk beschikken de meer moderne machines over een beveiligde versleutelde verbinding, maar die is niets waard als het inlogaccount en het wachtwoord voor het grijpen liggen.

Volgens de Federal Trade Commission moeten systeembeheerders op dezelfde kopieermachines beheren zoals ze met computers en servers doen. Veel van deze apparaten bevatten een harde schijf waar vertrouwelijke informatie op kan achterblijven. De FTC heeft een nieuwe publicatie uitgebracht waarin tips staan voor bedrijven om zich nog beter te beveiligen tegen diefstal of verlies van data, voornamelijk op die van kopieermachines (bron).

In de vrij te verkrijgen PDF staan nog veel meer tips en risico’s beschreven.

Overigens worden meer en meer apparaten gekoppeld aan het internet, niet alleen kopieermachines. Nee ook koffiezetapparaten bijvoorbeeld. Niet dat die nu ineens vertrouwelijke informatie bevatten, maar als je de leverancier afrekent op het aantal bakken koffie die de automaat heeft uitgespuugd is het misschien ook goed om daar eens vluchtig naar te kijken. Wie weet betaal je wel teveel.

Persoonlijk vind ik het een positieve ontwikkeling dat er nagedacht wordt over innovaties, ook als het gaat om kopieerapparaten en koffiemachines. Maar het kan geen kwaad om in een verloren uurtje eens na te denken over de beveiliging daarvan. Hoewel ik natuurlijk direct op wil merken dat we ook niet door moeten schieten…het is immers maar koffie en daar kunnen we best een paar uurtjes zonder.

Gebruik geen persoonlijke gegevens in SSID

Oké, eerst maar even verduidelijken voor de mensen die niet weten wat een SSID is: heel simpel is dat de naam die je geeft aan je draadloze internetverbinding. Je kunt de standaard naam van je leverancier kiezen (zoals je vaak ziet) maar dat is niet zo verstandig omdat hiermee voor de buiten wereld direct duidelijk is welk systeem je gebruikt en van dat systeem zijn de gaten eenvoudig op internet te vinden.

Toch is er meer te schrijven over het simpele feit van de naam van je draadloze verbinding:
Naast WPA2 moeten gebruikers van een draadloos netwerk geen persoonlijke gegevens in het SSID zetten en het bereik van het WiFi-signaal beperken. “Maak het voor hackers niet interessanter dan het al is om je netwerk binnen te dringen door een SSID te kiezen waarin je naam of adres voorkomt of een frase als “PietersWinkel”. Daarmee breng je nieuwsgierige buren of mensen met een verkeerd soort interesse in je bedrijf alleen maar op ideeën”, zegt Gert Hansen van Astaro. “Gebruik dus geen namen waaraan te zien is wie het netwerk gebruikt of dat het hoort bij de winkel om de hoek. Kies een neutrale betiteling die niets zegt over jezelf of over je locatie.” (bron)

Naast het versleutelen van je verbinding (WPA2), dat overigens helemaal niet zo ingewikkeld is als het klinkt. Het is namelijk gewoon een standaard optie in het merendeel van de verbindingen. Kun je die optie niet vinden dan wordt het wellicht tijd om toch maar een keer een nieuwe modem of router aan te schaffen.

Vergeet ook niet om de standaard inlognaam en het wachtwoord te wijzigen, anders heeft versleuteling of een ingewikkelde naam voor je verbinding ook geen zin.

Ik zou natuurlijk een onderzoek kunnen doen naar de namen in de omgeving en met laptop en al in de auto kunnen kruipen (war driving genaamd) maar dat zie ik mezelf niet doen. Nee, ik kijk gewoon even simpel welke namen ik hier kan vinden en in hoeverre ik weet bij wie ze horen. Dit zijn de resultaten:

  • UPC011495 met een WPA2 verbinding
  • Lotje met een beveiligde (WEP) verbinding
  • Eijsink/82768 met een beveiligde (WEP) verbinding
  • SpeedTouch3F0064 met een WPA2 verbinding
  • HildeWifi met een onbeveiligde verbinding
  • SpeedTouch859E8A me een WPA2 verbinding
  • En mijn eigen verbinding natuurlijk…maar die gaan we niet behandelen.

Slechts één onbeveiligde verbinding, dat is een hele vooruitgang sinds een paar jaar geleden. Ik weet natuurlijk niet of dit representatief is voor Nederland. Verder nog 2 WEP verbindingen, die inmiddels makkelijk te kraken zijn. En nog 3 WPA2 verbindingen.

Die onbeveiligde verbinding heeft een naam die te herleiden is naar de eigenaar (dag buurvrouw…wat heeft u mooie natuurfoto’s op uw computer staan). En drie waarvan we kunnen achterhalen welke router gebruikt wordt en welke gaten daar mogelijk in zitten (1x UPC en 2x SpeedTouch).

Ik ben benieuwd, kunnen jullie ook eens kijken welke verbindingen er in je omgeving zijn en aangeven of de score bij jullie net zo rampzalig is?

Al met al toch niet echt een mooie score, overal mankeert wel wat aan. De één heeft geen of een slechte beveiliging, die met een betere beveiliging maken duidelijk welke router gebruikt wordt. Ach, gelukkig is er nog één verbinding die wel aan de simpelste beveiligingseisen voldoet…en dat is mijn verbinding.

Eigenaar videotheken failliet

Hoewel we bij continuïteit vaak denken aan allerlei beveiligingsrisico’s die ons voortbestaan kunnen bedreigen zijn er daarnaast natuurlijk nog vele andere zaken die kunnen zorgen voor risico’s. Zo zul je een goede prijs/kwaliteitsverhouding moeten hebben, zul je aan marketing moeten doen, moet je voldoende personeel hebben en moet je natuurlijk voldoende klanten behouden. De nieuwe economie, beïnvloed door het internet, moet hierbij zeker niet uit het oog worden verloren.

Zo zag ik dit bericht op Nu.nl staan:
De Entertainment Retail Group (ERG), het bedrijf achter bekende videotheken als Movie Max en Videoland, is failliet. Het bedrijf hoopt in afgeslankte vorm een doorstart te kunnen maken, aldus directeur Ruud Bakker donderdag (bron).

Hier zie je typisch zo’n markt die sterk beïnvloed is door het internet en haar mogelijkheden. Laten we eerlijk zijn, wanneer ben jij voor het laatst naar de videotheek gelopen om een VHS-je te huren? Voor mij is dit al jaren geleden in ieder geval.

Nu kun je als organisatie je beveiliging op orde hebben en toch je continuïteit in gevaar zien komen. Dit toont de rol van beveiliging maar weer eens aan, het is ondersteunend aan je totale bedrijfsvoering. Zit je bedrijfsvoering niet goed in elkaar dan heeft het ook niet zoveel zin om je volledige aandacht te richten op je beveiliging. We zullen dit de komende tijd meer zien, hoewel beveiliging belangrijk wordt gevonden door het management hebben ze wel andere zaken aan hun hoofd: overleven.

Toch moet beveiliging niet uit het oog worden verloren. Nee, juist in economisch zware tijden moet je juist goed naar je beveiliging kijken. Waar kan ik verbeteringen aanbrengen die minder kosten dan de huidige situatie? Welke beveiligingsmaatregelen neem ik al jaren maar leveren eigenlijk alleen maar schijnveiligheid? Ik ben er van overtuigd dat je met een goede aanpak van beveiliging zomaar 10% tot 20% er op kunt besparen. Uiteraard gaan de kosten voor de baten uit, je zult dus eerst moeten investeren in het inzichtelijk krijgen van je beveiliging en met name in de kosten daarvan, maar daarna kun je redelijk eenvoudig flinke sommen geld besparen zonder dat je een toename in risico’s ziet.

Een flinke uitdaging voor veel organisaties omdat de kosten voor beveiliging veelal niet gespecificeerd zijn. Dat zal dus je eerste stap worden: specificeer de kosten van je beveiligingsmaatregelen. De volgende stap is de getroffen maatregelen nog eens goed tegen het licht houden en kijken waar besparingen mogelijk zijn.

Om terug te komen op en af te sluiten met het bericht waar we mee begonnen: we kunnen het internet natuurlijk als bedreiging zien en ons rustig naar het slachtbankje laten leiden, maar we kunnen er ook voor zorgen dat we het internet begrijpen en inbedden in onze bedrijfsvoering. Hadden de videotheken dat gedaan dan waren ze misschien met nieuwe diensten of andere afzetkanalen gekomen waardoor ze nu niet failliet waren gegaan. Veel organisaties zullen last krijgen van het internet als ze het als bedreiging blijven zien en als het ze niet lukt om goed in te bedden. We zullen dan ook nog behoorlijk wat faillissementen voorbij zien komen.

Willen we de continuïteit borgen dan moeten we dus niet alleen kijken naar onze beveiligingsrisico’s, nee we moeten juist kijken naar de mogelijkheden die de nieuwe economie ons biedt. En dat is makkelijker gezegd dan gedaan.

En een gratis advies voor de heer Bakker: een doorstart heeft alleen maar zin als je ook echt iets anders gaat doen. Het heeft geen zin om de videotheken in ongewijzigde vorm te laten doorstarten…dan steven je af op een nieuw faillissement in de nabije toekomst. Ik wil best met je meedenken…maar ja dan gaan de kosten voor de baten uit: it’s your choice.

Beveiliging kan worden getest met mystery guest

Een interessant bericht, waar ik het natuurlijk volledig mee eens ben:

De beveiliging van een organisatie kan worden getest door een mystery guest de opdracht te geven om de maatregelen te omzeilen. Veel organisaties nemen genoegen met het uitvoeren van een risicoanalyse en implementeren van maatregelen. Daarna concluderen ze dat de beveiliging afdoende is, aangezien er nooit incidenten zijn. Incidenten zijn echter pas bekend als ze worden opgemerkt. Daardoor is het aantal incidenten geen goede graadmeter voor de kwaliteit van de beveiliging (bron).

Het is inderdaad waar dat er vanuit beleid allerlei ogenschijnlijk goede beveiligingsmaatregelen worden bedacht en worden ingevoerd. Dit is natuurlijk niet specifiek voor beveiliging, maar voor alles wat in de ivorentorens bedacht wordt. Er is vaak een groot gat tussen wat er vanachter het buro bedacht wordt en wat er in de praktijk werkt.

Het is dan zeker goed om de beveiliging te testen. Niet alleen door het inzetten van mystery guests, maar door op allerlei wijzen te kijken of de beveiliging ook echt zo goed is als we bedacht hebben. Het is toch wel fijn dat de autofabrikanten testen of de airbags werken (en hoe vaak zien we daar geen terugroep acties?). Ook het testen van de “klantvriendelijkheid” van de medewerkers door social engineering tests is een belangrijk aspect. Te vaak willen we de “klanten” helpen, dat is uiteraard erg klantvriendelijk, maar niet iedereen is een klant. De criminelen weten donders goed dat medewerkers ons graag verder helpen, zij maken daar graag gebruik van en medewerkers zijn vaak een spraakwaterval.

Naast de psychologie van medewerkers te testen kan het ook geen kwaad om de technische tests uit te voeren. Penetratietesten om te kijken hoe degelijk onze technische systemen eigenlijk in elkaar zitten.

Ze hebben er trouwens een mooie term bij bedacht:
Een mystery guest kan deze zogeheten beveiligingsblindheid doorprikken.

Beveiligingsblindheid, ehm, een mooi begrip om ook nog eens een blog over te schrijven. Wellicht binnenkort.

Beveiliging DigiD op losse schroeven

Hadden we het gisteren nog over Chertoff die aangaf dat de Amerikanen hun privacy op moesten geven zodat hij ze beter kon beveiligen. Vandaag gaan we verder waar we gisteren met het kip en ei verhaal gebleven waren. Daarbij werd aangegeven dat de overheden er eerst voor moeten zorgen dat onze gegevens goed beveiligd zijn voordat we bereid zijn nog meer van onze privacy op te geven.

In Nederland denken we daar toch blijkbaar anders over want de beveiliging van onze DigiD gaat naar beneden. Blijkbaar hebben zich niet voldoende incidenten voorgedaan waardoor we best op beveiliging kunnen bezuinigen. Het is een beetje als de brandweer afschaffen omdat er het afgelopen jaar geen grote brand is geweest. Op deze wijze is het wachten op incidenten.

De overheid ziet ervan af om de toegang tot DigiD nog langer afdoende te beveiligen. “Systemen die worden beheerd in een kippenhok voldoen aan de eisen van het Rijk.” De problemen spelen bij de dienstverlening om SMS-berichten te kunnen sturen, die door de overheid recentelijk opnieuw is aanbesteed. Daarbij is slechts gekozen met één criterium: de prijs. En dus is alles op dezelfde hoop gegooid. Dat blijkt uit documenten die in het bezit zijn van Webwereld (bron).

Een enge gedachte als je het mij vraagt. Beveiligen puur en alleen op kosten. Natuurlijk moeten we de kosten en baten goed in de gaten houden. We moeten geen € 10-tje beveiligen met een kluis van € 1.000,-. Dat snappen we allemaal. Maar de vraag die we hier moeten stellen is wat onze DigiD-gegevens ons waard zijn.

Beveiliging kun je, net als allerlei andere aanbestedingen en projecten sturen op 3 criteria: kosten, kwaliteit en tijd. Sturen op alle drie de criteria is haast onmogelijk. Als ik namelijk kwaliteit wil dan kost me dat meer geld en tijd, als ik lage kosten wil dan gaat de kwaliteit naar beneden en als ik een strakke deadline wil halen tegen een bepaalde kwaliteit dan zullen de kosten sterk omhoog gaan.

Ik weet niet of het heel verstandig is om de aanbesteding van dergelijke SMS-diensten voor een product als DigiD te sturen op kosten. Dat ze niet absurd hoog mogen zijn is me duidelijk. Maar er zit nog een heel verschil tussen de goedkoopste en de duurste oplossing. Is een bekend gezegde niet: goedkoop is duurkoop?

De vraag is nu echter of ik er als gebruiker van de DigiD nog vanaf kan? Bij de introductie ervan was het allemaal veelbelovend, we zouden er enorm veel mee kunnen en moesten allemaal maar aan de DigiD. In de praktijk gebruik ik hem, volgens mij, alleen bij mijn belastingaangifte.

De eis voor gescreend personeel is komen te vervallen en de systemen hoeven ook niet meer op inmiddels beproefde methodes beheerd te worden. Logboeken of audit trials kunnen vrijelijk ingericht worden en versleutelen doen we ook niet meer. De auditdienst houdt er geen toezicht meer op en dat is misschien nog wel het ergste. We weten straks helemaal niet hoe slecht de boel beheerd wordt en welke incidenten zich hebben voorgedaan.

Het datacenter stelt straks ook niets meer voor en toegangsbeveiliging is alleen maar lastig. Ja zo kun je de kosten natuurlijk wel omlaag brengen.

Ik maak me best zorgen en misschien moeten we toch maar eens van ons recht gebruik maken en bij DigiD opvragen over welke gegevens ze eigenlijk allemaal beschikken. Dat recht hebben we want het gaat hier toch om persoonsgegevens dus de Wet Bescherming Persoonsgegevens is van toepassing.

Het moet allemaal niet gekker worden. Proberen we juist om organisaties beter te beveiligen gaan we met de DigiD weer terug naar het tijdperk van de A Ford. Hij rijdt wel, maar echt comfortabel is anders en inmiddels kunnen we auto’s in meer kleuren bestellen dan in zwart.

De beveiliging voor aap zetten?

Het is weer vrijdag en voor we aan het weekend gaan beginnen kijken we hoe de Commonwealth Games in India beveiligd zijn. Wie weet kunnen we er nog wat van leren voor als de Olympische Spelen onze kant op komen in de toekomst.

Houdt onze politie het bij politiehonden en politiepaarden, in India pakken ze dat veel professioneler aan.

De organisatoren van de ‘Commonwealth Games’ hebben wat wenkbrauwen doen fronsen door voor de bewaking van het atletendorp in New Delhi apen in te huren. Teams worden belaagd door brutale, wilde rhesus-apen die gebouwen binnendringen en alles stelen wat los en vast zit. Nu hebben de organisatoren een team van 40 grote grijze langoer-apen ingehuurd om hun kleinere neefjes bij de gebouwen vandaan te houden. Een offical legt uit: “Ze zullen de kleinere apen wegjagen omdat die mateloos irritant en vernietigend zijn, écht ongedierte.” (bron)

Beveiliging zien we vaak als een serieus vakgebied en we zijn er inmiddels wel achter dat security in-depth of simpel gezegd met meer lagen aangepakt moet worden. De ene beveiligingsmaatregel moet de andere versterken. Als je dus dacht dat in India de apen de enige oplossing waren dan heb je het mis.

Tegelijkertijd is er ook een team van 50 slangen-bezweerders in dienst genomen nadat één van de atleten een levende cobra in z’n kamer had aangetroffen.

Beveiliging is topsport, zeker voor de Security Manager die verantwoordelijk is voor de Commonwealth Games. Denk je alles goed voorbereid te hebben blijkt dat er nog een stelletje boze boeren in aantocht zijn om jouw spelen te dwarsbomen.

Organisatoren onthulden verder dat ze ook een noodteam van cowboys achter de hand houden in afwachting van het doorgaan van een aangekondigde demonstratie door boeren die dreigden om honderden koeien en buffels de stad in te jagen.

Respect voor deze Security Manager, hopen dat alles in goede banen loopt en dat hij er geen (geestelijke) blessure aan over houdt.

Meldplicht voor datalekken in regeerakkoord

Nederlandse bedrijven en overheden krijgen een meldplicht voor datalekken. Ook moeten zij het melden als zij misbruik van privégegevens hebben geconstateerd. Dat blijkt uit het donderdagmiddag gepresenteerde regeerakkoord. Als de meldplicht niet wordt nageleefd, mag de toezichthouder boetes uitdelen (bron).

Veel beveiligingsincidenten die we voorbij zien komen, komen uit Amerika of Engeland. Niet omdat daar zoveel meer gebeurt maar omdat dergelijke incidenten daar openbaar gemaakt moeten worden. Deze verplichting was er in Nederland nog niet, waardoor een berg incidenten in de afgelopen jaren onder de pet zijn gehouden. Met het nieuwe regeerakkoord lijkt zo’n verplichting er nu ook voor Nederland te komen.

Juich niet te vroeg want alles moet eerst nog uitgewerkt, goedgekeurd en ingeregeld worden. Maar we lijken een stap in de goede richting te zetten. Ja, klopt, ik ben er voorstander van. Ik hoef zeker niet alle details te weten maar hoor graag als mijn gegevens mogelijk zijn gecompromitteerd.

Hopelijk krijgt informatiebeveiliging hiermee ook meer de aandacht die het verdient. De Security Managers krijgen het een stuk drukker maar krijgen wellicht ook een luisterend oor bij het (top)management. Doen we het als organisatie niet goed dan komen we negatief in het nieuws, imagoschade is iets waar het management wel ontvankelijk voor is.

En voor dat we allerlei doemscenario’s gaan verkondigen. Dit legt ons als beveiligingsexperts ook een verplichting op, namelijk om professioneel advies te geven waarbij we reële risico’s en verwachtingen moeten toe passen.

Waarschijnlijk gaan we dezelfde weg in als met “compliance”. Eerst zorgen we dat we “security compliant” zijn (beter bekend als het afvinken van vinklijstjes) waarna we meer en meer zullen groeien naar “in control” zijn. Voor wat betreft compliance verlaten we nu zo’n beetje de eerste fase en gaan we toe naar beheersing, beveiliging zal daar achteraan lopen en het zal nog even duren voordat we de volgende fase bereiken. Maar ik ben positief gestemd, “in control” op het gebied van beveiliging, security management zoals het ooit bedoeld was, een professionalisering van het vakgebied.

De vlag hangt uit, een mijlpaal op beveiligingsgebied (voor de datalekken tenminste).

Waarom zijn beveiligingsmaatregelen zo lelijk?

Na de anti-ramkraak middelen en rookmelders zijn we nu aanbelandt bij de beveiligingscamera’s. Vaak ook van die gedrochten waar je niet blij van wordt. Aan de andere kant is er natuurlijk ook al jaren een ontwikkeling gaande met verborgen camera’s. Vanuit esthetisch oogpunt zouden we dat wellicht moeten stimuleren, maar vanuit privacy overweging kun je daar over redetwisten.

Wat te denken van de volgende camera? Mooi voor bij jou thuis aan de muur?

Vaak is het niet eens de camera die echt lelijk is (mooi wil ik ze ook niet noemen overigens) maar het is de behuizing die stamt uit het jaar kruik. Zeker voor camera’s die buiten hangen moet vandaalbestendige behuizing worden aangebracht, maar kan dat niet in de stijl van het gebouw of in een andere kleur dan het saaie wit/grijs?

De zogenaamde dome-cameras zien er dan al weer een stuk beter uit, maar zo’n rare bobbel aan het plafond of aan de wand zou ook onnodig moeten zijn als we de behuizing gewoon mooier ontwerpen.

Nee, als ik mijn huis of zaak zo zou moeten beveiligen zou ik toch eerder kiezen voor een verborgen camera. Sticker naast de deur dat er met camera’s gewerkt wordt en je bent al een heel eind op weg. Verwerken we de camera bijvoorbeeld in een mooie wandklok dan combineren we beveiliging ook nog eens met functionaliteit.