Winkelmand

Geen producten in de winkelwagen.

IT-beveiliging moet fundamenteel anders

Media melden de ene na de andere datalek. Toch blijven bedrijven achter de feiten aanlopen. Podiumauteur Wim van Campen stelt een andere denkwijze voor om de it-beveiliging betrouwbaar te maken. 

Een ware stortvloed aan IT-beveiligingsincidenten zorgt ervoor dat er geen week – soms zelfs geen dag – voorbij gaat, zonder dat de media weer een nieuw beveiligingslek melden. Dit gaat al vele maanden zo en het ziet er niet naar uit dat al deze publiciteit tot een drastische afname van het aantal beveiligingsincidenten heeft geleid. Ook de reputatieschade die dit in veel gevallen oplevert, is kennelijk onvoldoende om goede beveiliging af te dwingen. 

IT kan niet alles beveiligen

De IT-beveiliging moet daarom fundamenteel veranderen. Het uitgangspunt daarbij is: niet alles met alle middelen beschermen. Bescherm alleen wat voor de organisatie echte waarde heeft of veel schade (al dan niet financieel) kan opleveren, bijvoorbeeld doordat niet aan de vereiste wet- en regelgeving wordt voldaan. Dit vergt een strategische planning van de IT-beveiliging.

Alles met alle middelen beveiligen is niet meer mogelijk. De digitale bedreigingen zijn in aard en aantal dusdanig dat dit alleen al technisch onmogelijk is. Hier komt nog bij dat er in hoog tempo nieuwe bedreigingen verschijnen waar technologie vaak alleen maar op kan reageren. Maar ook budgettair gezien is het een onmogelijke opgave geworden. En dat terwijl de impact van beveiligingslekken, malware, digitale bedrijfsspionage, enzovoort, alleen maar groter wordt. Hoe moet het dan wel?

Begin met een businessanalyse

Alleen een fundamenteel andere aanpak, waarbij de organisatierisico’s bepalend zijn voor wat er beveiligd wordt en in welke mate, maakt het mogelijk verantwoorde keuzes te maken. Daarbij moet de focus van de beveiliging daar gelegd worden waar die vanuit het risicoperspectief ook zou moeten liggen. Deze aanpak gaat uit van een strategisch beveiligingsplan voor beveiliging en die moet beginnen met een analyse van de business. In de praktijk zal een IT-securityafdeling echter zelden het vermogen hebben om alle zakelijke activiteiten van hun organisatie te doorgronden en die kennis ook nog eens op peil te houden. Het gaat om kennis over wat de belangrijkste bedrijfsinformatie is en wat de belangrijkste security-gerelateerde zakelijke risico’s zijn. 

IT-beveiliging is allang geen kwestie meer van enkel techniek, maar van processen en mensen met de juiste kennis. Kennis die nodig is om te analyseren wat de risico’s voor de organisatie zijn. Deze analyse moet de taak zijn van de ‘business owners’, aangezien zij de waarde én de risico’s voor hun onderneming het beste kunnen inschatten. Zij weten wat de ‘kroonjuwelen’ van hun organisatie zijn. 

Dagelijks de nieuwsbrief van Management & Leiderschap ontvangen?



Door je in te schrijven ga je akkoord met de algemene en privacyvoorwaarden.

Verder zijn kennis en processen nodig om het risicoprofiel te koppelen aan het risico op een aanval, een lek of een besmetting met malware. De organisatie moet ook weten hoe de toegang tot die ‘kroonjuwelen’ is geregeld. Alleen dan kan die toegang goed beschermd worden. Daarbij moet vanzelfsprekend óók nog aan de eventuele wet- en regelgeving ten aanzien van toegangsbeveiliging tot privacygevoelige informatie worden voldaan. Op basis van al deze aspecten moet het riskmanagementteam van de organisatie actie ondernemen.

Inspelen op nieuwe beveiligingslekken

Maar ook als de beveiliging eenmaal goed is ingericht, blijft het essentieel om voortdurend na te gaan of de beveiliging nog adequaat is. Er verschijnen immers steeds weer nieuwe bedreigingen. Deze moeten dan elke keer weer gekoppeld worden aan het risico- en beveiligingsprofiel. Bovendien kan door verandering of uitbreiding van de activiteiten ook de risico’s voor een organisatie veranderen. Dat betekent telkens weer vaststellen of er al een goede beveiliging is tegen deze nieuwe dreiging. En zo niet, of het risico van de dreiging zelf én van de informatie die mogelijk wordt bedreigd, het rechtvaardigt om met prioriteit en alle middelen actie te ondernemen.

Onze ervaring is dat nagenoeg iedere inbreuk op de beveiliging te voorkomen was geweest door ofwel de inzet van beschikbare technologie, correcte processen, bewuste mensen of een combinatie van deze. Alleen een strategische aanpak, die gebaseerd is op risico’s voor de organisatie en die deel uitmaakt van het algehele risicomanagement, maakt het mogelijk om IT-beveiliging te optimaliseren, in de zekerheid dat wat echt beveiligd moet worden, ook zo goed mogelijk beveiligd is. Zoals altijd is voorkomen beter dan genezen. Een aanpak op basis van risico’s voor de organisatie maakt dat mogelijk.

Over de auteur:
Dit Podiumartikel is geschreven door Wim van Campen, Vice President Northern Europe at McAfee.

Over het Podium:
Ook uw visie geven op ontwikkelingen binnen uw vakgebied? Plaats een artikel op MT Podium. Log in op mt.nl/profiel en voeg onder 'activiteiten' uw artikel toe. Interessante bijdragen worden meegenomen in de nieuwsbrief en op home geplaatst. MT Magazine publiceert bovendien periodiek 'Het beste van MT Podium'.