Datalek? Pas op voor boete!

Bijna iedere week komen tal van organisaties in het nieuws vanwege het lekken van gevoelige bedrijfsdata. De oorzaak zit meestal in kwaadaardige aanvallen door hackers. Het gevolg is dat de privé-gegevens van met name consumenten op straat komen te liggen. Voor staatssecretaris Teeven van Justitie en Veiligheid een reden tot een wetsvoorstel, waarbij bedrijven en instellingen kunnen worden beboet als zij hun beveiliging niet op orde hebben (bron).

Hoewel je er over kunt twisten of de meeste datalekken daadwerkelijk door kwaadaardige aanvallers veroorzaakt worden is de strekking van het verhaal dat je als organisatie ervoor moet zorgen dat je beveiliging op orde is omdat je anders een boete kunt krijgen.

Nu moet je als organisatie niet wakker liggen van die boete. Je moet je beveiliging niet op orde brengen om boetes te voorkomen. Nee, je moet je beveiliging op orde hebben omdat je gegevens van klanten in bezit hebt die ze je in vertrouwen hebben gegeven. Je moet zorgen dat je beveiliging op orde is om waardevolle data niet te verliezen. Je moet je beveiliging op orde hebben om te voorkomen dat je bedrijfsprocessen stil vallen. Nou ja, zo kunnen we nog wel even doorgaan met de redenen voor een goede beveiliging.

Die redenen zijn er trouwens al jaren maar die lijken binnen veel organisaties toch niet goed aan te slaan. Het is voor velen een ver van mijn bed show onder het mom van: dat gebeurt ons toch niet.

Misschien is het dan wel goed om boetes op te leggen en misschien is het wel goed als managers inderdaad meer aandacht aan beveiliging gaan besteden om die boete te voorkomen (en daarmee hun eigen bonus veilig te stellen).

Waarom je het ook doet, houd er rekening mee dat beveiliging alleen maar goed geregeld kan zijn als dat vooraf wordt gegaan door een goede manier van risico management, door de juiste combinatie van technische, procedurele, organisatorische, bouwkundige en elektronische maatregelen. En als we dan toch zo lekker bezig zijn, zullen we dan ook direct de business continuity op orde brengen? Gaat het dan toch fout dan kunnen we er in ieder geval voor zorgen dat de schade beperkt blijft.

Heb je als security manager nooit goed draagvlak kunnen krijgen bij het management dan kun je het nu misschien proberen door ze te wijzen op het risico van boetes. Wij weten dan wel dat we het eigenlijk over bijvoorbeeld het voorkomen van imagoschade hebben…maar dat hoeven zij niet te weten.

Meldplicht voor datalekken in regeerakkoord

Nederlandse bedrijven en overheden krijgen een meldplicht voor datalekken. Ook moeten zij het melden als zij misbruik van privégegevens hebben geconstateerd. Dat blijkt uit het donderdagmiddag gepresenteerde regeerakkoord. Als de meldplicht niet wordt nageleefd, mag de toezichthouder boetes uitdelen (bron).

Veel beveiligingsincidenten die we voorbij zien komen, komen uit Amerika of Engeland. Niet omdat daar zoveel meer gebeurt maar omdat dergelijke incidenten daar openbaar gemaakt moeten worden. Deze verplichting was er in Nederland nog niet, waardoor een berg incidenten in de afgelopen jaren onder de pet zijn gehouden. Met het nieuwe regeerakkoord lijkt zo’n verplichting er nu ook voor Nederland te komen.

Juich niet te vroeg want alles moet eerst nog uitgewerkt, goedgekeurd en ingeregeld worden. Maar we lijken een stap in de goede richting te zetten. Ja, klopt, ik ben er voorstander van. Ik hoef zeker niet alle details te weten maar hoor graag als mijn gegevens mogelijk zijn gecompromitteerd.

Hopelijk krijgt informatiebeveiliging hiermee ook meer de aandacht die het verdient. De Security Managers krijgen het een stuk drukker maar krijgen wellicht ook een luisterend oor bij het (top)management. Doen we het als organisatie niet goed dan komen we negatief in het nieuws, imagoschade is iets waar het management wel ontvankelijk voor is.

En voor dat we allerlei doemscenario’s gaan verkondigen. Dit legt ons als beveiligingsexperts ook een verplichting op, namelijk om professioneel advies te geven waarbij we reële risico’s en verwachtingen moeten toe passen.

Waarschijnlijk gaan we dezelfde weg in als met “compliance”. Eerst zorgen we dat we “security compliant” zijn (beter bekend als het afvinken van vinklijstjes) waarna we meer en meer zullen groeien naar “in control” zijn. Voor wat betreft compliance verlaten we nu zo’n beetje de eerste fase en gaan we toe naar beheersing, beveiliging zal daar achteraan lopen en het zal nog even duren voordat we de volgende fase bereiken. Maar ik ben positief gestemd, “in control” op het gebied van beveiliging, security management zoals het ooit bedoeld was, een professionalisering van het vakgebied.

De vlag hangt uit, een mijlpaal op beveiligingsgebied (voor de datalekken tenminste).

Nederland in Top 5 beste IT-security landen

Nederland behoort tot de 5 landen waar IT-security het best geregeld is, maar aan de andere kant herbergen we ook de meeste spammers (Bron).

Niet zo gek natuurlijk dat we de meeste spammers herbergen, onze netwerken zijn zo goed beveiligd dat de spam-netwerken moeilijk uit de lucht gehaald kunnen worden. Fijne gedachte. En blijkt maar weer hoe goed de anti-spam wetgeving die is ingevoerd werkt. Foei, het mag niet, laten we het vooral in de wet vastleggen dan zullen die schobbejakken het wel uit hun hoofd laten.

Ach misschien beroepsdeformatie maar als wij al op de 5de plaats staan dan wil ik niet weten hoe het is met de andere 188 officieel erkende staten in de wereld. Voordat iedereen denkt dat we er wel zijn als we op de 5de plaats staan: pas op voor schijnveiligheid, hoewel we veel doen aan beveiliging doen we lang nog niet altijd de goede dingen.

Ik hoop dat 2010 het jaar wordt waarin we ons af gaan vragen of we compliant willen zijn op het gebied van beveiliging of dat we ook daadwerkelijk “in control” willen zijn. Ja, lees de zin nog eens, lijkt misschien of er hetzelfde staat, maar compliance aantonen is echt wat anders dan “in control” zijn.

De uitdaging voor 2010? Met minder budget betere beveiliging realiseren en meerwaarde voor de beveiligingsmaatregelen die we nemen aantonen. Een hele uitdaging, maar, mits er goed over na wordt gedacht, zeker niet onrealistisch.

Kortom: van het implementeren van beveiligingsmaatregelen naar het afdekken van risico’s. Een goed voornemen voor 2010 lijkt me.

Bedrijven bezuinigen op beveiliging

De financiele crisis leidt bij veel bedrijven tot minder investeringen in informatiebeveiliging. Een op de vier organisaties heeft te maken met een verlaging van het beveiligingsbudget van vijf tot vijftig procent. En nog eens dertien procent wordt geconfronteerd met meer dan een halvering van het budget. In vergelijking met vorig jaar heeft een meerderheid van de organisaties de aandacht verlegd naar compliance, het voldoen aan wet- en regelgeving. Kostenreductie en kwaliteitsverbetering spelen op dit moment een veel minder belangrijke rol. Zo blijkt uit onderzoek.

Eerder bleek al dat bedrijven hun beveiliging afbreken. Juist nu meer medewerkers getroffen zullen worden door de financiele crisis (door ontslagrondes, door het ontbreken van bonussen, etc.) zou het toezicht alleen maar toe moeten nemen. Vertrouwen is goed, controle is beter, juist nu, maar daar denken de organisaties dus anders over.

Tel daarbij op dat het volwassenheidsniveau van veel organisaties op het gebied van beveiliging nog niet erg hoog was (het is misschien net uit de kinderschoenen, maar er zijn nog vele stappen te zetten), dat blijkt onder andere uit alle incidenten die we voorbij zien komen, dan ga ik me toch zorgen maken.

Het voldoen aan wet- en regelgeving krijgt de aandacht, maar moesten ze daar dan al niet aan voldoen? Hebben ze dan jaren de wet overtreden? En, daarbij, zoveel wet- en regelgeving op het gebied van informatiebeveiliging is er nu ook weer niet. Kostenreductie en kwaliteitsverbetering spelen op dit moment een veel minder belangrijke rol , zo wordt geconcludeerd. Kostenreductie kan, volgens mij, op meerdere manieren bereikt worden: bijvoorbeeld door alleen maar te voldoen aan wet- en regelgeving (die dus voor een groot deel nog ontbreekt) of door nu eens slim na te denken over de af te dekken risico’s en de te nemen maatregelen. Kostenreductie speelt dus wel degelijk een rol, maar dan op de eerste manier. Juist door slim te kijken naar risico’s en maatregelen kunnen niet alleen de kosten verminderd worden maar kan ook nog eens de kwaliteit toenemen. Jammer een gemiste kans voor veel organisaties en een erg korte termijn visie.

In plaats van preventieve maatregelen zullen nu meer kosten gemaakt moeten worden voor repressieve en correctieve maatregelen. Op zich niet erg, want ook dat kan je strategie zijn, alleen zijn die kosten vele malen moeilijker in te schatten en vele malen hoger dan de preventieve maatregelen. Wat kost het als je imago naar de haaien gaat? Wat kost het om de informatie die verloren gaat terug te krijgen (als dat al mogelijk is)? Wat kost het als de continuiteit in gevaar komt door foute bezuinigingen…uit eindelijk misschien wel je kop.