Iedereen heeft wel een mening als het gaat om informatiebeveiliging. Een geluk bij een ongeluk? Of juist een ongeluk bij een geluk? Dat is maar net hoe je er naar kijkt. Je kunt het vergelijken met het “thuisdoktoren” zoals iedereen tegenwoordig doet. Pijn in je linkerzij en uitslag op je rechter elleboog? Even Googlen en je hebt je ziekte zo gevonden…daar heb jij de huisarts toch niet meer voor nodig zeker?
Ik heb te doen met de huisartsen van tegenwoordig (jammer trouwens dat zij niet met ons te doen hebben als informatiebeveiligers, maar goed, dat kun je ze eigenlijk niet kwalijk nemen). Heb je net 8 tot 10 jaar gestudeerd om de kwalen te kunnen achterhalen, heeft je patiënt het met 2 minuten internetten ook al gevonden. Probeer die patiënt er dan nog maar eens van te overtuigen dat het toch echt iets heel anders is dan de “ZiektePedia” hem verteld heeft.
Op het gebied van informatiebeveiliging zien we hetzelfde ontstaan. Iedereen heeft er wel een beeld bij, iedereen heeft er wel een mening over en als we het niet weten Googlen we het toch even? Toch is dat niet altijd (of eigenlijk: bijna nooit) het juiste medicijn, daarom gaan we ons de volgende vraag stellen:
Wordt er, waar nodig, specialistisch advies ingewonnen op het gebied van beveiliging?
Inmiddels kunnen we de conclusie trekken dat beveiliging als vakgebied een erg breed vak is. We hebben het over bedrijfskunde, we hebben het over organisatiekunde, we hebben het over risicomanagement, we hebben het over informatietechnologie, we hebben het over bedrijfsprocessen, we hebben het over technische maatregelen en we hebben het over onze gebouwen en mensen.
De kans dat je alle kennis in huis hebt (of wilt hebben) om alle aspecten van beveiliging zelf te kunnen overzien is klein en vaak ook niet nodig. Daar waar nodig kan specialistisch advies van buiten worden ingewonnen. Dat geeft niet alleen een frisse blik maar voorkomt ook dat we alle kennis zelf in huis hoeven te hebben.
Natuurlijk weten we dat het beeld van specialistisch advies duur is. Bedenk echter dat het zelf in huis hebben van al die kennis wellicht vele malen duurder en minder efficiënt is.
‘Pennywise, Pound foolish’, zo kunnen we het in een aantal gevallen wel noemen als we specialistische kennis buiten de deur houden. We pleiten ervoor om organisaties zoveel mogelijk zelf te laten doen maar daar waar nodig specialisten in te schakelen. Deze zijn op de hoogte van de laatste stand van zaken en zijn in staat om de doorvertaling te maken naar de praktijk van de klantorganisatie.
Daarbij moeten we overigens niet de illusie hebben dat iedere informatiebeveiliger hetzelfde kunstje kan. Nee, vanwege de breedte van het vakgebied zijn daarbinnen ook specialisten te vinden. Zo zal de een meer weten van allerlei technische firewalls, terwijl de ander juist weer alles weet van sloten, bouten en moeren. Ook hier kunnen we weer de parallel trekken naar de medische wereld: een huisarts laat je ook geen open hart operatie uitvoeren, toch?
Eigenlijk zouden we informatiebeveiliging veel meer op moeten pakken zoals we dat in de medische wereld al veel langer doen. Denken we dat we een probleem hebben dan gaan we naar de huisarts, die stelt een prognose en verwijst ons door naar een specialist als hij het niet zelf op kan lossen. Zo bezien, ben ik dus eigenlijk een huisarts die graag de prognose stelt om je vervolgens of zelf te helpen of als het buiten mijn specialisatie valt je door te verwijzen.
Voel je je niet zo lekker? Bel me gerust, ik stel vast wat het probleem is en wie je daar het beste bij kan helpen. Misschien moet ik binnenkort eens starten met een spreekuur…lijkt je dat wat? Dan hoor ik het graag.