De beste wensen en een veilig 2012

Allereerst natuurlijk allemaal de beste wensen voor dit nieuwe jaar. Als je de Staatsloterij of Postcode loterij niet hebt gewonnen en als jouw bedrijf tijdens de feestdagen niet is afgebrand, is het vandaag weer tijd om aan de slag te gaan. Maar niet voordat je natuurlijk eerst al je collega’s de hand hebt geschut en een goed 2012 hebt gewenst.

Uiteraard zijn we benieuwd wat dit nieuwe jaar ons zal brengen. Wat gaat de economie doen, blijft de Euro nu wel of niet bestaan en krabbelen we weer eens uit de recessie? Welke beveiligingsincidenten zullen we dit jaar allemaal in het nieuws zien, welke daarvan treffen jouw organisatie en wat gaan bedrijven eraan doen om deze incidenten te voorkomen?

Zo aan het begin van dit nieuwe jaar is het allemaal nog koffiedik kijken. Feit is wel dat we 2011 af hebben kunnen sluiten met allerlei beveiligingsincidenten die we in 2012 toch liever willen voorkomen. Daarvoor kunnen we nu (of morgen) al beginnen met de eerste stap: risicoanalyse.

Mijn persoonlijke (beveiligings)wens voor 2012 sluit daar mooi bij aan. Laten we van 2012 het jaar maken waarin we stoppen met investeren in beveiligingsmaatregelen zonder dat er daarvoor een goede risicoanalyse is gemaakt. Zo zorgen we er niet alleen voor dat er meer risico’s daadwerkelijk worden afgedekt, maar zo zorgen we er ook voor dat de kosten en baten met elkaar in evenwicht blijven. We kunnen ze verantwoorden aan het management, gaan efficiënt met de beveiligingsbudgetten om en houden aan het eind van dit jaar misschien nog een deel van dat budget over.

Het lukraak geld uitgeven aan allerlei losstaande beveiligingsmaatregelen, die meer schijnveiligheid dan beveiliging opleverde, is zo 2011…nu breekt een periode aan waarbij we de beveiligingmaatregelen baseren op de operationele risico’s en uiteindelijk op de “enterprise risks” en die blijven voor 2012 ongewijzigd: omzet, kosten en imago, al het andere is daar een afgeleide van.

Als het ons lukt om deze gedachte vast te houden, dan kijken we op 31 december 2012 vast terug op een veilig 2012.

Beveiliging mobiele apparaten wordt vaak onderschat

We hadden het er al eerder over deze week, maar goed de kracht zit hem in de herhaling zullen we maar zeggen.

De beveiliging van mobiele apparaten wordt vaak onderschat. Onderzoek van Juniper Networks toont dit aan. Zeker 75% van de mensen zou hun mobiele apparaat gebruiken om gevoelige persoonlijke of bedrijfsinformatie te benaderen of zelfs te delen. Nog eens 81% benadert het bedrijfsnetwerk zonder toestemming van het bedrijf (bron).

Ik heb er al zoveel en zo vaak over geschreven dat ik bijna niet meer weet wat ik er nog aan toe kan voegen. Dus zullen we onszelf maar weer eens herhalen maar dan in andere bewoording.

We moeten steeds blijven kijken naar oorzaak en gevolg. Theoretisch heel simpel, toch? In de praktijk een stuk lastiger. Dat de beveiliging (en zeker niet alleen die van mobiele apparatuur) onderschat wordt is een gevolg. Het is niet, ik herhaal, niet de oorzaak. De oorzaak moet gezocht worden in bewustzijn, ik herhaal, bewustzijn.

Het management blijft beveiliging lastig vinden. Dat komt omdat we met zijn allen blijven denken in allerlei exotische beveiligingsmaatregelen. Deze maatregelen kosten bergen met geld, maken het werken lastig en er gebeurt toch nooit wat? Op zich allemaal (deels) waar, zeker als we uit blijven gaan van die maatregelen.

Willen we het management overtuigen dan moeten we echt meer en meer gaan denken en communiceren in operationele en bedrijfsrisico’s. Uiteindelijk is en blijft de beveiliging ondersteunend aan de primaire processen van de organisatie. Daar verdienen we ons geld mee en de operationele risico’s die dat geld verdienen kunnen beïnvloeden moeten we op een efficiënte wijze zien te beheersen.

Het management moet wegblijven van en niet lastig gevallen worden met die beveiligingsmaatregelen. Nee ze moeten overtuigd worden van het feit dat wij de operationele onacceptabele risico’s beheersen. En dat is makkelijker gezegd dan gedaan, dat weet ik ook wel. Toch moeten we er, in het kader van de bezuinigingen, niet mee wachten want dan staan we straks 1-0 achter.

Het advies? Start vandaag nog met het denken in operationele risico’s en maak daarbij steeds de vertaalslag naar de bedrijfsrisico’s.