Informatiebeveiligers

Voor informatiebeveiligers was januari 2020 een maand waarin security incidenten zich in sneltreinvaart aandienden. Op zich niets nieuws, maar de media aandacht die er mee gemoeid ging was wel nieuw. Voor de Citrix vulnerability die eind 2019 ontdekt werd, werd in januari een exploit ontdekt. Hetzelfde gold voor Pulse Secure VPN, ook daar werd een nieuwe exploit voor gelanceerd. Verder werden er kwetsbaarheden gevonden in VMware, Windows en Internet Explorer. De Universiteit Maastricht en GWK Travelex moesten hun werkzaamheden (deels) staken vanwege ransomware en Microsoft stopte deze maand de ondersteuning op Windows 7, waardoor het wachten is tot de volgende organisatie getroffen wordt door een incident.

Het jaar is nog geen maand oud en er ligt alweer voor een heel jaar werk, je zou er moedeloos van worden!

Toch ben ik optimistisch. Informatiebeveiliging is een onderwerp dat steeds meer aandacht krijgt. Ook de investeringsbereidheid om “iets” met informatiebeveiliging te gaan doen neemt toe, ook binnen het middel en kleinbedrijf. Vooral die laatste groep bedrijven heeft wel goede adviezen nodig, want waar moet je beginnen als je iets met ‘cyber’ wilt?

Daar wringt wat mij betreft de schoen. Binnen onze branche denken we kennelijk nog steeds dat, wanneer we mensen maar bang genoeg maken, ze vanzelf wel mooie oplossingen gaan aanschaffen. Door op fear, uncertainty & doubt (fud) te focussen, verwacht men kennelijk dat ondernemers en bestuurders geld gaan uitgeven aan ‘oplossingen’.

Inderdaad, oplossingen tussen aanhalingstekens. Want veel producten en diensten zijn helemaal niet de oplossing voor een organisatie. Angst is een slechte raadgever, dus als er vanuit die motivatie wordt gekocht, dan heb je grote kans dat je iets koopt dat je probleem niet oplost. Zonde van het geld dus.

Daarbij komt dat veel organisaties al geïnvesteerd hebben in IT-middelen die de beveiliging van een IT-omgeving naar een acceptabel niveau kunnen brengen, het is dus lang niet altijd nodig om extra zaken aan te schaffen, maar juist om ervoor te zorgen om wat je al hebt op een juiste manier te gebruiken.

Ik besef dat deze stellingname haaks staat op wat een aantal partijen binnen de informatiebeveiliging propageren, maar ik ben ervan overtuigd dat een pragmatische aanpak tot betere resultaten gaat leiden. Niet alleen doordat klanten veiliger worden, maar ook doordat ze uiteindelijk wel extra investeringen gaan doen, nadat ze de basis op orde hebben.

Dus hierbij de oproep aan alle leveranciers van securitydiensten en -oplossingen: laten we van 2020 een jaar zonder fud maken!