De afgelopen jaren hebben organisaties gelukkig steeds meer aandacht voor het beschermen van belangrijke systemen en data gekregen. Zo is er door veel bedrijven geïnvesteerd in anti-spam, anti-malware, anti-virus, firewalls en back-ups. Een goede ontwikkeling, zou je denken. Toch denk ik dat er iets fundamenteels mis is gegaan. Als je namelijk kijkt naar de zaken die aangeschaft zijn, dan hebben ze een sterk technisch karakter. Niet gek, want bijna altijd worden ze aangeschaft door techneuten!
Hoe is het zo gekomen?
De meeste organisaties hebben een aparte afdeling die de IT-systemen beheert. Of het beheer is uitbesteed aan een gespecialiseerde managed services partij. IT wordt daarbij vaak als kostenpost gezien, je hebt het nou eenmaal nodig op je werk te kunnen doen. Dat IT een strategisch belang heeft, is bij veel organisaties nog niet goed doorgedrongen. Dat betekent dat de IT-ers veelal ook niet betrokken worden bij ‘de business’. Het is vooral de verwachting dat IT-ers een houding van “u vraagt, wij draaien” hebben. Doe maar gewoon wat de business van je vraagt.
Dat is jammer, want de IT-ers hebben over het algemeen een passie voor hun vak. Ze volgen relevante technische blogs en ze ontmoeten elkaar bij beroepsverenigingen en technologie gebruikersgroepen. Daarnaast zorgen ze ervoor dat ze steeds gecertificeerd worden op de laatste technologie. Producenten van die technologie erkennen de IT-ers wel. Zo verbinden ze status en voordelen aan het behalen van bepaalde certificaten en worden ze op evenementen beloond met goodies en andere toffe zaken.
Het is daarom niet verwonderlijk dat, wanneer de business dan eens om een oplossing voor een probleem vraagt, of wanneer er een oplossing moet komen voor een zelf ontdekt probleem, IT-ers geneigd zijn om naar IT-oplossingen te kijken. Daar zijn ze namelijk goed mee bekend en, laten we eerlijk zijn, die oplossingen liggen het dichts bij waar ze passie voor hebben. Als gevolg daarvan wordt de uitdaging van het beveiligen van data en systemen tegen datalekken en hackers doorgaans met IT-investeringen ‘opgelost’.
Informatiebeveiliging is geen IT, maar risicobeheersing!
Als de technische oplossingen werken, dan is er geen probleem, toch? Inderdaad, als je met techniek alles kon oplossen, dan hoefde je alleen maar op zoek te gaan naar de beste oplossing tegen de meest voordelige investering. Helaas kun je met IT slechts een deel van het probleem oplossen. Informatiebeveiliging is eigenlijk risicobeheersing. Je kijkt naar preventieve maatregelen die je kunt treffen om een incident te voorkomen, je denkt na over mitigerende maatregelen voor wanneer een incident zich voordoet en je kunt ook nog eens maatregelen bedenken om de schade van een toekomstig mogelijk incident te herstellen. Daarbij moet je verder kijken dan techniek alleen, ook de mensen die gebruik maken van systemen en de processen die er zijn om deze veilig te houden moeten aandacht krijgen.
De tijd dat hackers alleen misbruik maakten van technologische kwetsbaarheden in systemen ligt inmiddels achter ons. Doordat it-systemen door patches en updates (relatief) veiliger geworden en dus niet meer zo makkelijk te hacken zijn, hebben kwaadwillenden hun focus verlegd. De afgelopen jaren zijn phishingaanvallen en andere manieren om de menselijke factor te misbruiken steeds verder toegenomen. Eenvoudige phishing-activiteiten zijn iets van het verleden, de e-mails worden steeds geraffineerder en steeds moeilijker van echt te onderscheiden. Ook worden er steeds complexere manieren bedacht om gebruikers te misleiden. Zo werd in december 2017 bekend dat een bekende helpdesk plugin misbruikt werd om de browser van helpdesk-medewerkers te manipuleren (https://www.security.nl/posting/544360/Webwinkels+doelwit+van+XSS-aanvallen+op+helpdesk-extensie). Om ervoor te zorgen dat de kans op misbruik van de menselijke factor minimaal is, zullen mensen goed opgeleid moeten worden. Daarnaast is het essentieel dat zij verdachte activiteiten snel en eenvoudig kunnen melden en dat er een positieve cultuur rondom informatiebeveiliging is.
Voorgaande betekent automatisch dat diegene die in de organisatie verantwoordelijk is voor informatiebeveiliging ook in staat moet zijn over verschillende afdelingen en disciplines heen te kijken. in de meeste organisaties gaat het hierbij om managers en bestuurders. En laat risicobeheersing nou precies een van de zaken zijn waar zij zich toch al regelmatig mee bezig houden!
Informatiebeveiliging zonder IT-ers?
In deze bijdrage betoog ik niet dat IT-ers geen rol hebben in informatiebeveiliging. Integendeel bijna: om bepaalde procedures af te kunnen dwingen kunnen IT-middelen zeker handig zijn. Ook zijn er IT-middelen die de kans op misbruik van de menselijke factor verkleinen en/of de impact ervan verlagen. Het mag inmiddels wel duidelijk zijn dat IT niet altijd de oplossing is. Of dat nieuwe IT-middelen niet altijd de beste of meest voordelige oplossing bieden. In sommige gevallen is opleiden van medewerkers of het aanpassen van procedures veel effectiever.
Ben je manager of bestuurder en weet je niet waar te beginnen?
Voor veel managers en bestuurders lijkt informatiebeveiliging ingewikkeld. Het gaat naar hun idee over hackers, ransomware, de duistere kant van het internet en nog meer Hollywood-beelden die aan computercriminaliteit kleven. In werkelijkheid is het gelukkig een stuk eenvoudiger. Door een aantal eenvoudige vragen te beantwoorden, weet iedere manager en bestuurder wat de eerstvolgende stap in informatiebeveiliging wordt. Hier komen ze:
- Wat heb ik in mijn organisatie dat de moeite waard is voor een kwaadwillende, wat zijn de kroonjuwelen?
Denk bijvoorbeeld aan persoonsgegevens, intellectueel eigendom, betaalbestanden en/of patiëntinformatie. - Welke waarde vertegenwoordigen de kroonjuwelen?
Niet alleen voor jezelf, maar ook voor een kwaadwillende. - Voor welke kwaadwillende ben ik een interessant doelwit?
Denk aan concurrenten, criminelen en/of op hol geslagen medewerkers - Op welke wijze kan een kwaadwillende bij de kroonjuwelen komen?
Via een medewerker, via een it-systeem en/of via fysieke inbraak? - Hoe gemotiveerd zijn de kwaadwillenden?
Hoe graag willen zij de kroonjuwelen bemachtigen, hebben ze er veel of weinig geld voor over, hebben ze veel of weinig middelen tot hun beschikking? - Hoeveel kan er redelijkerwijs geïnvesteerd worden om een incident te voorkomen?
Als de kroonjuwelen € 100.000,- waard zijn en makkelijk zijn te reproduceren, dan is een investering van € 75.000,- in bescherming ervan vanuit bedrijfseconomisch oogpunt mogelijk niet zo’n goede beslissing.
Hulp nodig?
Mocht je hulp nodig hebben, neem dan contact op met mij of een lid van het Guardian360 team. Via www.guardian360.eu/nl/contact kun je direct contact opnemen.