Eind van de week en tijd om de IT-managers een hart onder de riem te steken. Kijken of het ons lukt om ze een rustig weekend te bezorgen zodat ze weer wat slaap van alle slapeloze nachten in kunnen halen.
Als IT-manager sta je niet alleen. Er vanuit gaande dat je als manager in dienst bent van een organisatie. De ondernemer (veelal dus de baas van de IT-manager) weet ook dat alles nog niet in kannen en kruiken is.
IT-systemen goed beveiligen is belangrijk, dat blijkt wel uit alle meldingen van inbraak en misbruik. Ondanks alle (met name technische) activiteiten zegt zeventig procent van de ondernemers over onvoldoende geschoold personeel, budget en kennis te beschikken waardoor de IT-systemen niet goed beveiligd zijn. Dertig procent van hen heeft niet eens antivirus-software geïnstalleerd. (bron)
Tijd dus om eens een goed gesprek met de ondernemer te hebben. Als IT-manager kun je met een gerust hart je zorgen uiten. Sterker nog, de ondernemer zal je dankbaar zijn. Tenzij hij jou natuurlijk ziet als bron van al het kwaad omdat hij jou schaart onder het onvoldoende geschoolde personeel (maar daar gaan we niet vanuit, want dan had je deze functie waarschijnlijk nooit gekregen).
Ook hierbij zien we weer dat ondernemers en managers nog te vaak redeneren vanuit de (technische) beveiligingsmaatregelen en niet vanuit de risico’s voor de organisatie. In de paniek en waan van de dag installeren we nog een firewall omdat dat nu eenmaal een gevoel van veiligheid geeft. We vergeten daarbij helaas nog wel eens te kijken naar onze kritische bedrijfsprocessen en kritische informatie.
Naast al deze technische beveiligingsmaatregelen zijn er nog een hele berg procedurele en organisatorische maatregelen te bedenken die bijdragen aan het beheersen van de risico’s. Deze maatregelen zijn veelal goedkoper dan technische maatregelen en leveren een hogere bijdrage aan de informatiebeveiliging. Toch worden ze nog vergeten omdat ze misschien minder voor de hand liggen dan een nieuwe firewall, een nieuw anti-viruspakket enzovoorts.
Als we kunnen accepteren dat beveiliging een bedrijfskundig aspect is dan valt er een last van onze schouders. Natuurlijk kijken we eerst tegen een berg aan waar we overheen moeten, maar we zullen zien dat als we eenmaal halverwege die berg zijn de weg naar boven minder steil is dan gedacht.
Wil je als IT-manager (of Security Manager) slagen slaan, dan moeten we dus gaan kijken vanuit de risico’s van de organisatie. Dat is in het begin misschien lastig (uiteraard help ik je daar graag bij, misschien is een risk awareness sessie wat voor jou…maar goed ik schrijf hier niet om mijzelf te verkopen).
Nu het toch vrijdag is, kun je misschien een uurtje vrij maken om eens na te denken over de risico’s waar je wakker van ligt. Je ligt niet wakker van de technische maatregel, maar je ligt wakker van het bijbehorende risico. Hebben we die eenmaal inzichtelijk dan gaan we daarna wel eens denken over de juiste set beveiligingsmaatregelen om dat risico af te dekken.
Geloof me, al snel zul je tot de conclusie komen dat er meer onder de zon is dan nog een technische beveiligingsmaatregel. Je hebt dus niet nog meer techneuten nodig om de boel veilig te houden, nee je hebt bedrijfskundigen nodig die jou bij gaan staan (nou ja, nog een keer dan: je mag me altijd een mailtje sturen).
Ik wens alle managers een rustig weekend waarin ze wat slaap in kunnen halen.