Gesprekken over informatiebeveiliging komen regelmatig in een fase waarin alle energie uit het gesprek lijkt weg te lekken. Mijns inziens liggen hier twee oorzaken aan ten grondslag. Ten eerste zorgt informatiebeveiliging voor een onbevredigend gevoel: als je alles op orde hebt, is er toch niets aan de hand? Ten tweede gaan gesprekken rondom informatiebeveiliging vaak over angst, onzekerheid en twijfel. Dienstverleners schermen met boetes die organisaties mogelijk moeten betalen na een incident. Directies worden bang gemaakt dat ze met hun bedrijf in de krant komen na een digitale inbraak. Daarbij gaan technologische ontwikkelingen zo snel, dat mensen twijfelen of ze daar ooit adequaat op kunnen reageren.
Ik pleit er niet voor om je ogen te sluiten voor deze risico’s en onzekerheden. Wel vraag ik me af waarom informatiebeveiliging met zoveel negativiteit omgeven is, terwijl we vergelijkbare onderwerpen heel nuchter benaderen. We zijn ons er bijvoorbeeld van bewust dat er een kans bestaat dat er brand uitbreekt op ons kantoor. Daarom hebben we rookmelders, brandblussers en een inboedelverzekering afgesloten. We zijn ons er ook van bewust dat er een kans op inbraak is. Daarom hebben we een alarmsysteem, een alarmopvolgingsdienst en een inbraakverzekering afgesloten. Toch vertrekken we elke dag vrijwel zonder zorgen van kantoor, omdat we er vanuit gaan dat we gedaan hebben wat we kunnen.
Met informatiebeveiliging is het niet anders. Ja, er is een kans dat je organisatie gehackt wordt. Maar er zijn dingen die je kunt doen om het risico daarop te verkleinen. Daar zijn technologische hulpmiddelen voor, die moeten worden aangevuld met menselijk gedrag. Net zoals je een brandende peuk niet in de prullenbak gooit, zo moet het ook normaal zijn om een usb-stick grondig te wissen als je hem weggooit. En net zoals je ‘s avonds je pand afsluit, zo sluit je ook je informatiesysteem af voor mensen die daar geen toegang toe zouden mogen hebben. Of die het wel mochten, maar nu niet meer mogen.
Net zoals bij brand en inbraak in je kantoor kun je alleen je uiterste best doen om te voorkomen dat het gebeurt, maar 100% uitsluiten kun je niet. Je kunt dus nu al nadenken over wat je gaat doen als er een hack heeft plaatsgevonden. Bij een inbraak in je kantoor volgt de opvolgingsdienst de melding op, vervolgens doe je aangifte bij de politie en informeer je de mensen die over de inbraak geïnformeerd moeten worden. Bij een hack is dat niet anders. Je moet deze opvolgen, in een aantal gevallen moet je de hack melden bij een overheidsinstantie en je doet wat je kunt om de gevolgen zo beperkt mogelijk te houden en de kans op herhaling te verkleinen.
Ik besef dat informatiebeveiliging voor veel mensen een virtueel en ongrijpbaar begrip is. Een deur kun je beetpakken en op slot doen, en een brandblusser passeer je elke dag op de gang in je kantoor. Het is daarom zaak dat organisaties informatiebeveiliging meer zichtbaar maken. Laat informatiebeveiliging onderdeel zijn van je bedrijfsprocessen en niet een apart proces of afdeling zijn. Als medewerkers vaker te maken krijgen met de praktische uitwerking van informatiebeveiliging, dan wordt het gelijk minder ongrijpbaar.
Laten we ervoor zorgen dat we informatiebeveiliging gaan omarmen als een van de dingen die we gewoon op orde willen hebben en een einde maken aan angst, onzekerheid en twijfel!