“Informatiebeveiliging, dat regelt mijn IT-dienstverlener toch?” Helaas krijg ik dit antwoord vaak als ik directeuren vraag naar hun informatiebeveiliging. Ik schrijf ‘Helaas’ omdat die directeuren maar al te vaak alleen wijzen naar hun IT-dienstverlener als het om informatiebeveiliging gaat. Natuurlijk zijn er elementen die door IT-specialisten opgepakt moeten worden, maar informatiebeveiliging is in de eerste plaats een onderwerp dat thuis hoort binnen het management team. Het gaat om risicobeheersing, om de inspanningen die een organisatie moet leveren om bepaalde dreigingen het hoofd te bieden. Ook gaat het om activiteiten die ontplooid moeten worden wanneer het toch mis gaat.
Uiteraard mag een organisatie die haar IT-beheer heeft uitbesteed aan een managed services partij er vanuit gaan dat basale zaken geregeld zijn. Denk hierbij aan een firewall, antivirus, back-up of spamfiltering. Dit zijn inmiddels standaard informatiebeveiliging elementen binnen de dienstverlening van dit soort partijen. Dankzij die elementen zijn een aantal maatregelen dus al genomen, maar helaas blijven er ook daarna nog behoorlijke blinde vlekken achter.
Zo wordt er niet standaard gekeken of er binnen de IT-infrastructuur zwakheden of configuratiefouten te vinden zijn. Vaak zorgt de release van een patch of update door een softwareleverancier er pas voor dat het management doorkrijgt dat de organisatie al lange tijd kwetsbaar was voor bijvoorbeeld een digitale inbraak. Wanneer het management eerder op de hoogte zou zijn van dit soort zaken, kan zij veel sneller maatregelen treffen. Daarmee wordt de kans op een incident aanzienlijk verkleind.
Een ander voorbeeld: er wordt door de meeste partijen ook niet gekeken naar verdachte activiteit binnen de IT-infrastructuur. Goede IT-dienstverleners en –specialisten nemen regelmatig de firewall logs door, maar dit geeft alleen een beeld van de buitenwereld. Digitale inbrekers die mogelijk al actief zijn in een netwerk, komen daarmee niet in beeld.
Natuurlijk kijken organisaties naar hun IT-dienstverlener voor het oppakken van dit soort zaken. Wat zij zich echter nog onvoldoende beseffen, is dat informatiebeveiliging ook vraagt om extra inzet van de dienstverlener. De realiteit is namelijk dat er nieuwe expertise opgedaan moet worden en bijgehouden moet worden. Scanners vinden kwetsbaarheden die opgelost moeten worden, dat kost naast expertise ook tijd en vergt in sommige gevallen bovendien aanvullende investeringen.
Iedere organisatie is dus vatbaar is voor digitale inbraak. Het management moet daarom bepalen hoe kwetsbaar de organisatie is, en welke middelen zij moet inzetten om de dreiging zo goed mogelijk het hoofd te bieden. In veel gevallen zal er meer budget vrijgemaakt moeten worden voor aanvullende dienstverlening, zodat IT-infrastructuur continu van binnen en van buiten in de gaten gehouden wordt en kwetsbaarheden worden opgelost. Guardian360 helpt u hier graag bij!