Steun en betrokkenheid van het management

Gefeliciteerd, je hebt het einde van de quickscan gehaald…tenzij je natuurlijk je geduld niet op de proef wilde stellen en direct na de eerste stap de quicskscan op de site hebt ingevuld. Dan zal het je ook niet verbazen wat deze tiende en laatste vraag is. Het mag dan wel de (voorlopig) laatste vraag zijn, toch is het niet de minst belangrijke. Laten we er niet verder omheen draaien en aan de slag gaan.

De tiende vraag die we moeten stellen is:
Is er zichtbare steun en betrokkenheid van het (top)management voor integrale beveiliging en geeft het management het goede voorbeeld?

En het antwoord? Ja, nee of weten we het eigenlijk niet?

Als je, als verantwoordelijke voor de informatiebeveiliging, door het (top)management geconfronteerd wordt met de uitspraak: “prima beveiligingsmaatregelen, maar ze gelden natuurlijk niet voor mij.” Dan heb je een serieus probleem te pakken. Je zult de informatiebeveiliging dan ook nooit goed van de grond krijgen en loopt zelfs het risico dat je er door de frustratie aan onder door gaat.

Maar als je de tien stappen uit deze quickscan volledig doorlopen hebt en je het management mee hebt genomen in je zoektocht dan zou er toch al een vorm van steun en betrokkenheid moeten zijn ontstaan. Als je dus bij deze stap bent aangekomen en die steun is er nog niet dan moeten we teruggrijpen op de eerdere vragen. Daar zullen we de tien stappen dan ook maar mee afsluiten, vind je niet?

  1. Heb je het beveiligingsbeleid wel laten bekrachtigen door het (top)management en sluiten de doelstellingen van beveiliging wel aan bij de organisatiedoelstellingen?
  2. Is het (top)management ook beschreven in de organisatiebeschrijving en zijn aan hen ook taken, bevoegdheden en verantwoordelijkheden toegewezen?
  3. Worden de genomen beveiligingsmaatregelen wel periodiek en onafhankelijk beoordeeld en komen deze auditrapportages wel bij het (top)management aan?
  4. Heb je gebruik gemaakt van normen, best practices en richtlijnen uit de branch die logisch in elkaar zitten en goed aansluiten bij de beeldvorming van het (top)management?
  5. Is het risicomanagement framework goed opgezet en heeft het (top)management dat geaccordeerd?
  6. Heb je het beveiligingsbewustwordingsprogramma niet alleen gericht op de medewerkers maar heb je ook een speciaal programma voor het (top)management waarbij ze risicobewust gemaakt worden?
  7. Is inzichtelijk gemaakt welke risico’s de continuïteit van de organisatie kunnen bedreigen en heeft het (top)management de restrisico’s formeel geaccepteerd?
  8. Is er een overzicht opgesteld van kritische bedrijfsprocessen en gegevens en is het (top)management het wel met dit overzicht eens?
  9. Is het (top)management zich wel bewust van de mogelijke gevolgen van het niet voldoen aan wet- en regelgeving?

Heb je na de 10 stappen en na de 9 controlevragen nog steeds geen steun van het management? Dan is het wellicht de moeite waard om je positie binnen de organisatie nog eens tegen het licht aan te houden. Als er echt geen behoefte is, waarom is je functie er dan? Waarom zouden ze er dan wat aan doen? Maar, eerlijk is eerlijk, als we het op de juiste wijze aanpakken en reëel blijven dan is er geen (top)manager die willens en wetens niets aan informatiebeveiliging doet. Heb jij toevallig die ene manager die dat wel doet getroffen? Maak je geen zorgen, binnenkort staat hij in de krant en voor het groene bankje.

Zo zijn we aan het eind gekomen van een 10daagse reis, hopelijk kun je de inspanning waarderen en kun je een of meer van de stappen in de dagelijkse praktijk goed gebruiken. Uiteraard ben ik reuze benieuwd naar je reactie op de tien stappen en hoor ik graag van je.

Oh ja, voor de laatste keer en voor het geval je de eerdere stappen toch liever overzichtlijk bij elkaar hebt, je kunt de quickscan nog steeds zelf doorlopen door hier te klikken of door me snel uit te nodigen voor die bak koffie. Uiteraard is deze scan ook beschikbaar voor mensen die mijn blog de afgelopen 10 dagen niet gevolgd hebben.

Storingen groter gevaar in NL dan cyberaanvallen

Storingen vormen bij Nederlandse bedrijven een veel groter gevaar dan cyberaanvallen, zo stelt het Centraal Bureau voor de Statistiek (CBS). Er werd gekeken naar beveiligingsincidenten bij zowel Nederlandse als andere Europese landen. Storingen, oftewel de uitval van ICT-diensten of vernietiging / verminking van gegevens door storingen in hardware of software komt in Nederland bij 19% van de bedrijven voor. Aanvallen van buitenaf (7%), infecties (7%) en datalekkage door Inbraak, pharming of phishing (4%) vormden een veel kleiner deel van de incidenten (bron).

Als het Centraal Bureau van de Statistiek het onderzocht heeft dan zal er toch zeker een kern van waarheid in de gegevens zitten. Goed om te weten natuurlijk, zo kunnen we met feiten naar buiten treden.

Het geeft maar weer eens aan dat we informatiebeveiliging moeten relativeren en wel op die manier dat de grootste dreiging helemaal niet van buitenaf komt. Natuurlijk moeten we aan “grensbewaking” doen en blijven doen (en daar kan ook nog heel wat in verbeterd worden). Maar het wordt belangrijker om ook eens naar de interne organisatie te kijken.

Helaas wordt in het bericht niet aangegeven waardoor die interne storingen veroorzaakt worden. Dat kan natuurlijk technisch falen van de systemen zijn, foutieve instellingen, fouten van medewerkers en ga zo maar door. Maar wat te denken van de bewuste activiteiten van medewerkers? Nog te vaak worden allerlei technische beveiligingsmaatregelen ingezet terwijl met organisatorische en procedurele maatregelen veelal meer effect te bereiken is tegen lagere kosten.

Een overig opmerkelijk feit:
Ook vergeleken met de ons omringende landen is het aandeel bedrijven met ICT-beveiligingsincidenten hoog. In Duitsland was het 22 procent, in België 24 procent en in het Verenigd Koninkrijk slechts 10 procent…Nederland behoort met Denemarken en Noorwegen tot de landen met de meeste ICT-beveiligingsincidenten.

Kortom: werk aan de winkel voor de Nederlandse organisaties. En het wordt misschien wat vervelend maar dat begint toch echt bij het bewustzijn van het management.

Betrokken directie is beste beveiliging

De effectiefste en bovendien eenvoudigste manier om de informatiebeveiliging van organisaties te verhogen, is het verhogen van de betrokkenheid van de directie bij het informatiebeveiligingsbeleid. De directie of raad van bestuur bevindt zich als informatie-eigenaar namelijk in de beste positie om beveiligingsinvesteringen te kiezen die zijn afgestemd op het bedrijfsbeleid (bron).

Zo te lezen heb ik wederom een medestrijder gevonden om beveiliging beter op de kaart te zetten. Hij maakt een punt waar ik het volmondig mee eens ben. Ik predik dit zelf ook al jaren maar met hoe meer mensen we dit roepen hoe beter het is.

Vaak zien we onbegrip bij het management, er wordt niet de steun gegeven die we nodig hebben. Te vaak geven we het management hiervan de schuld, terwijl we ook eens in de spiegel moeten kijken. Beveiliging wordt vaak exotisch gehouden, we roepen allerlei technische risico’s en maatregelen en vinden het raar dat het management ons wat glazig aankijkt. Let op: zij spreken onze taal niet en dat moet ook niet van hen verwacht worden (ze hebben wel wat anders te doen). Nee wij moeten leren om hun taal te spreken. Wij moeten leren om te praten in business risks.

Een manager is niet geïnteresseerd in het nieuwste virus, hij is wel geïnteresseerd in de impact die het kan hebben op de bedrijfsprocessen of beter nog op de omzet.

Een manager is niet geïnteresseerd in de laatste algoritmes van de encryptie software, hij is wel geïnteresseerd in de impact die gestolen informatie kan hebben op het imago van de onderneming.

Een manager is niet geïnteresseerd in de sloten die we op de deur hebben gezet, hij is wel geïnteresseerd in de waarde van de goederen die gestolen kunnen worden bij een inbraak, en dan het liefst gewoon uitgedrukt in Euro’s.

Veel organisaties doen aan de verhoging van het beveiligingsbewustzijn van de medewerkers. Soms zie je goede programma’s, meestal zie je een postertje aan de wand die iedereen maar moet begrijpen. Niet alleen is er nog een wereld te winnen op het gebied van beveiligingsbewustzijn bij de medewerkers. Nee we moeten specifieke bewustzijnscampagnes richten op het management, in hun taal, kijkend naar hun scope waarbij we in gaan op de business risks.

Doen we dat op de juiste manier dan ontstaat er vanzelf een mate van bewustzijn bij dat topmanagement. We moeten stoppen met hen de schuld geven van het onbegrip en het ontbreken van steun. Het is onze taak om ze op de juiste wijze te bedienen, ze met de juiste woorden aan te spreken en het liefst de juiste management informatie systemen in te richten.

Het is niet makkelijk, dat heeft ook nooit iemand beweerd. Er is veel meer onder de zon dan de technische maatregelen op beveiligingsgebied. We hebben te maken met politiek en communicatie en dat zijn ingewikkelde aspecten.

Kwetsbaarheid bedrijven sinds 2009 gestegen

Ruim tweederde (36 procent) van de Nederlandse medewerkers vinden hun organisatie kwetsbaar op het gebied van beveiliging. Een stijging van vijf procent ten opzichte van vorig jaar. Ook komt uit dit onderzoek naar voren dat 53 procent van de bedrijven hun beveiligingsbeleid niet afstemt op de beveiligingsrisico’s (bron).

Schrikbarende cijfers als je het mij vraagt. We hebben het al vaker gehad over de schijnveiligheid die er leeft en de maatregelen die genomen worden zonder naar de risico’s te kijken. Maar dit soort onderzoeken bevestigen dat we nog een lange weg te gaan hebben.

53% van de bedrijven stemt het beveiligingsbeleid niet af op de risico’s. Op basis waarvan ze dan wel tot beleid zijn gekomen wordt helaas niet duidelijk, maar het lijkt er in ieder geval op dat er in de kasten van bedrijven vele papieren tijgers liggen.

Het blijft een vreemde gedachte dat maar zo weinig bedrijven serieus met risico management bezig zijn. Risico management doe je overigens niet alleen voor beveiliging maar kun je natuurlijk veel breder toepassen. Wat is het risico dat die klant niet betaald, wat is het risico dat ons gebouw afbrand, wat is het risico op nieuwe concurrenten en zo kunnen we nog wel even door gaan.

Je zou toch verwachten dat het management van een bedrijf continu met risico-inschattingen bezig is. Blijkbaar is er nog een hoop onduidelijkheid over risico’s die we lopen en hoe we ze in kunnen schatten. Risico management kunnen we zo ingewikkeld maken als we zelf willen, we kunnen op allerlei manieren proberen het tot wetenschap te verheffen door alle risico’s te kwantificeren.

Laten we nu eerst eens met de basis beginnen. Risico analyse is niets meer of minder dan de kans x de impact (ik weet het, het is wel heel simpel gesteld en erg abstract, maar toch is het zo). Daarbij kunnen we allerlei moeilijke methoden toe willen passen maar dat zou van latere zorg moeten zijn. We kunnen zoal vele bedreigingen bedenken waar we de kans en impact voor kunnen schatten (begin maar eens met het inschatten op een 5-puntsschaal). Geloof me, als je het een keer uitgebreid doet zul je inzicht krijgen in de risico’s die jouw onderneming loopt. Waarschijnlijk kom je ook wel tot de conclusie dat je nog niet alle risico’s voldoende hebt afgedekt. Dat kun je accepteren maar je kunt er ook wat aan doen door te beginnen met het nemen van de juiste maatregelen of het afsluiten van verzekeringen.

Risico management kun je inderdaad zo moeilijk maken als je zelf wilt, maar verhef het niet tot een wetenschappelijk alles omvattend model, begin eens bij de basis en accepteer dat je nooit alle risico’s inzichtelijk zult krijgen of kunt beïnvloeden. Hulp nodig? Ik help je graag verder op weg.

Veilig internetten geen prioriteit bij studenten

Een onderzoek van SURFnet in samenwerking met een aantal hoger onderwijs- en onderzoeksinstellingen naar het beveiligingsbewustzijn van studenten en medewerkers, laat zien dat de aandacht voor internetbeveiliging onder studenten laag is (bron).

Ai, dit is een pijnlijk probleem voor de toekomst. De jeugd heeft de toekomst maar als de jeugd onvoldoende beveiligingsbewust is dan hebben we nog een hoop werk te doen. De studenten van nu zijn de directeuren van de toekomst. Als ze zich nu al geen raad weten met de beveiliging hoe moet dat dan voor de bedrijven die ze gaan leiden in de toekomst? Wordt het dan leiden of lijden?

Jammer is dat het onderzoek niet heeft geprobeerd te achterhalen wat de oorzaken zijn. Dat is wat ons nu juist moet interesseren. Niet alleen voor de studenten maar juist ook voor het bedrijfsleven. Kennen we de oorzaken niet dan kunnen we alleen aan symptoombestrijding doen.

Probeer bij een beveiligingsprobleem of incident in je praktijksituatie eens te achterhalen wat de oorzaak is en dan bedoel ik de echte oorzaak, dus niet het sociaal wenselijke antwoord dat we krijgen. Nee, vraag nog even door. Wat bedoel ik hier nu weer mee? Ik zal het kort proberen toe te lichten: een medewerker veroorzaakt een incident. Is dan de medewerker de oorzaak (zo ja dan moeten we daar dus wat aan doen), maar is dat wel echt zo? In veel gevallen is de medewerker niet de oorzaak, ja hij veroorzaakt het probleem, maar waarom? Doorvragen dus. Wist hij niet dat hetgeen hij deed een risico vormde? Was er voor hem geen andere mogelijkheid om zijn werk uit te voeren? En ga zo nog maar even door.

Als hij niet wist dat het een risico vormde wat hij deed dan moeten we ons dat zelf kwalijk nemen. Blijkbaar is het ons niet gelukt om onze kennis voldoende bij hem over te brengen (zijn wij nu ineens de oorzaak? En moeten we daar dan niets aan doen?). Had de medewerker wel de middelen om het veilig te doen?

Neem als voorbeeld maar eens het gebruik van (privé) webmail binnen organisaties. De medewerker stuurt via webmail documenten naar zijn privé adres om er thuis verder aan te kunnen werken. “Strafbaar” feit omdat we in ons beleid hebben opgenomen dat dat niet mag? Of is dit de enige manier voor de medewerker om zijn deadline te halen? Moeten we er bijvoorbeeld niet voor zorgen dat hij een veilige thuiswerkplek heeft of moeten we hem niet een veilige USB-stick geven? Dat zouden we kunnen doen, maar waar we ook eens naar moeten kijken is de werkdruk die we hem hebben opgelegd.

Te vaak zien we nog dat managers opdrachten accepteren van de directie zonder daarbij met de medewerkers af te stemmen. De manager zegt dat het morgen af is (commitment aan de directie) en schuift het probleem door naar de medewerker. De medewerker op zijn beurt wil zijn manager niet teleurstellen (of is bang dat hij zijn bonus niet haalt) en gaat tegen beter weten in de opdracht aan. Hij mailt de nodige informatie naar zijn huisadres, maakt een typefout en het staat morgen in de krant.

Mogen jullie drie keer raden wie hier voor opdraait? De directie, de manager of de medewerker?
Al snel zullen we wijzen naar de medewerker, toch? Natuurlijk had de medewerker nooit de informatie over een onbeveiligde lijn moeten versturen, maar waarom deed hij dat? Om zijn manager niet teleur te stellen. De manager gaf hem niet genoeg tijd om zijn werk goed te kunnen doen, is de manager dan niet schuldig aan dit incident? De directie heeft onvoldoende budget ter beschikking gesteld en vindt veilige thuiswerkplekken een te dure oplossing. Is de directie niet schuldig dan?

Zo zie je maar, we zien ogenschijnlijk een beveiligingsincident maar eigenlijk is dat slechts het gevolg van een managementprobleem. Ga voor jezelf nog eens wat actuele beveiligingsincidenten na, was dat echt de schuld van de medewerker of hebben we die als symptoombestrijding de schuld gegeven en was daarmee de kous af?

Deze medewerker zal in de toekomst een dergelijk incident (hopelijk) niet meer veroorzaken maar hoeveel medewerkers kunnen dat nog wel doen? Moeten we niet de echte oorzaken (welke dat ook mogen zijn) proberen weg te nemen door bijvoorbeeld de werkdruk af te stemmen of de juiste middelen ter beschikking te stellen?