100 procent veiligheid? Het kan wél!
Om cybercriminaliteit en het verlies van kostbare informatie te voorkomen, moeten organisaties hun beveiliging steeds beter en strakker inrichten. Maar welk soort beveiliging hebben we daadwerkelijk nodig? Beleidsmakers en ‘experts’ roepen al snel dat 100 procent veiligheid een utopie is. Maar als we die 100 procent toch niet gaan halen, waarom zullen we ons dan eigenlijk inspannen?
Mensen en organisaties verschuilen zich achter dit idee, met als gevolg dat er te weinig of zelfs helemaal niets aan de beveiliging wordt gedaan. Het is deze lakse instelling in de basis die de talloze incidenten mogelijk maakt. En het enige waar die incidenten vervolgens toe leiden is praten, dure werkgroepen, adviezen en het ergst van alles: surveillance. Niets van dit alles leidt tot betere beveiliging, of leert de praktijk ons soms van wel? Verscholen achter het ‘100 procent veiligheid is een utopie’ idee mijdt men het echte probleem uit alle macht. Het is dus hoog tijd dat in die instelling verandering komt. Ik zeg dan ook:100 procent veiligheid is haalbaar. Ga daarom meteen voor dit doel, want alleen de weg daar naartoe is al ongelooflijk waardevol in de strijd tegen cybercriminaliteit, dataverlies en imago-schade.
Nul procent
Als je kijkt naar de actuele situatie bij het gemiddelde Nederlandse bedrijf, dan schrik je wel even. In de 12 jaar dat ik de meest uiteenlopende organisaties heb bezocht, heb ik geleerd dat de beveiliging vaak verre van compleet is. Ik zou zeggen dat het gemiddelde bedrijf misschien maar op 30 procent veiligheid opereert. Er zijn zelfs gevallen waar de score naar mijn mening zelfs niet boven de nul procent komt. Het gaat dan om bedrijven die weliswaar beveiligingsoplossingen hebben aangeschaft en uitgerold, maar waar die spullen vervolgens niet of nauwelijks beheerd worden. En dan ben je in feite eigenlijk net zo ‘veilig’ als zonder beveiliging. Beheer en onderhoud zijn essentieel voor de effectiviteit van iedere beveiligingsoplossing, dat is een van de eerste praktische zaken die wij bij klanten aanpakken.
Maar bedrijven moeten vooral eerst heel goed nadenken over wat ze eigenlijk willen bereiken met informatiebeveiliging. Je kan de prachtigste beveiligingsoplossingen implementeren, maar als er geen goed plan en beleid achter zit, geef je een hoop geld uit zonder ook maar in de buurt van dat doel van 100 procent veiligheid te komen. Het draait dan om drie hoofdvragen.
Ten eerste: wat zijn de doelstellingen van de beveiliging? Laat je niet puur leiden door allerlei adviezen en tips op internet, maar redeneer vanuit je eigen bedrijfsdoelstellingen. En realiseer je dat dit een managementonderwerp is, niet een IT-onderwerp.
Risico’s
De tweede vraag is net zo belangrijk ten aanzien van de doelstelling: welke risico’s loopt het bedrijf op dit moment? Welke potentiële schade kan worden aangericht? En zijn er misschien ook risico’s die helemaal niet technisch van aard zijn, zoals vertrouwelijke papieren documenten die niet door de papierversnipperaar gaan, of een oude computer of server die wordt weggegooid en waar nog informatie op staat. Het is moeilijk voor te stellen, maar dat gebeurt bijna dagelijks.
En ten derde moet er bepaald worden welke risico’s wel en welke niet afgedicht moeten worden. Dat vraagt om goed onderbouwde keuzes. Het is bijna ondoenlijk om alles te beveiligen, maar het gaat erom dat je je wel bewust bent van de risico’s zodat je de juiste strategie kan kiezen. Voor de risico’s die je accepteert, richt je de nodige controles in om snel te signaleren als er iets mis gaat, zodat er ook snel en adequaat kan worden gereageerd.
Op basis van de antwoorden op deze vragen kom je dan tot de uiteindelijke aanpak, die opnieuw uit drie aspecten bestaat: preventie, response en organisatie. Welke van deze drie aspecten als eerste wordt aangepakt is eigenlijk niet zo belangrijk, daar kunnen bedrijven zelf een keuze in maken. Als je ze uiteindelijk maar alle drie invult. Daarnaast is beveiliging geen project met een vast begin- en eindpunt; ieder van deze drie aspecten is aan verandering onderhevig, waardoor informatiebeveiliging een oneindig proces is.
Drie stappen
Bij preventie wordt aan de hand van het beleid en de inventarisatie gekeken hoe de eerder bepaalde risico’s het beste kunnen worden voorkomen of afgedicht. Hierin speelt securitytechnologie een belangrijke rol, maar het vraagt ook om heldere beleidsregels en procedures. Bij response gaat het om het continu monitoren op verdachte activiteiten op het netwerk en de systemen, waarbij zonodig direct actie kan worden ondernomen. En bij organisatie tot slot, gaat het om het goed plannen, inrichten en formaliseren van de aanpak, de te nemen stappen en de procedures op het gebied van beveiliging. Over het algemeen zou ik adviseren om altijd bij de organisatie te beginnen, maar we weten dat veel bedrijven ook dringend op zoek zijn naar snelle oplossingen en die zijn dus in de andere twee onderdelen van de aanpak te vinden.
Door in samenwerking met een deskundige partner de drie kernvragen volledig te beantwoorden en vervolgens preventie, response en organisatie optimaal in te richten, is die 100 procent veiligheid absoluut haalbaar. En zelfs als een bedrijf de laatste fracties van procentpunten niet haalt, zijn de meest voor de hand liggende dreigingen dan in ieder geval onder controle. Dus geen getreuzel en excuses meer, maar aanpakken!
Auteur: Erik Remmelzwaal is chief exective officer van DearBytes
