Informatiebeveiliging is meer dan technologie
Security is een hot topic in de ict, maar hoort daar eigenlijk niet thuis. Tenminste, niet alleen. Informatie is weliswaar digitaal en dus is de link met ict gauw gelegd. Toch valt de beste ict-beveiliging door mensen te negeren, ofwel niet-kwaadwillend te omzeilen.
“Als ik vraag wat heb je zoal aan beveiliging gedaan, dan krijg ik meestal antwoorden over de firewall, het wachtwoordenbeleid, de antivirusoplossing, enzovoorts. Maar informatiebeveiliging is meer dan technologie. Je moet het breder zien“, aldus Wilbert Pijnenburg directeur van InfoSecure en docent op de cursus Inzicht in Informatiebeveiliging.
Makkelijk wachtwoord
“Wachtwoorden zijn een makkelijk voorbeeld; mensen kiezen vaak toch een makkelijk woord, zoals hun achternaam, of een opvolgnummer bij een basiswachtwoord.“ Dan denken organisaties en de medewerkers dat ze veilig zijn, maar dat is dus een misvatting. “De technologie valt dan te omzeilen. De reactie is dan vaak ‘meer technologie’, bijvoorbeeld het invoeren van een keycard, wat de zaken nog complexer maakt. Als je mensen bewust maakt van beveiliging, had je die investering niet hoeven doen.”
“Vaak wordt er toch eerst aan technologie gedacht, voor de quick wins.”Niet dat Wilbert Pijnenburg tegen technische oplossingen is. “Technologie en bewustzijn gaan samen, hand in hand. Maar vaak zie je toch een spagaat ertussen.” Aan uitleg en bewustwording wordt vaak pas gedaan als beveiligingsincidenten niet, of niet meer, bij de technologie lijken te liggen. Maar bij de medewerkers, veelal onwetend.
Mede-verantwoordelijk
“Je moet éérst je procedures op orde hebben. Vaak is er aan het personeel wel verteld dat ze security incidenten moeten melden. Maar als dan niet duidelijk is hoe, en bij wie, en wat een incident is. Vaak is ook niet duidelijk wie die melding gaat opvolgen, en hoe. Wie is verantwoordelijk?”
De belevenis is vaak dat informatiebeveiliging gelijk staat aan ict-security. “Het is echter veel breder. Medewerkers, ook ict’ers, zijn mede-verantwoordelijk. De ict-afdeling moet dus eigenlijk buiten zijn verantwoordelijkheden gaan”, pleit Wilbert Pijnenburg. In de ideale situatie is dit een klus voor de cso, hoofd beveiliging, die dan in een stafafdeling zit. Een externe criticaster dus, net als een auditor. Mogelijk valt deze taak onder de cio, als hoofd informatie (chief information officer), maar in de praktijk is de cio vaak ‘slechts’ hoofd ict. “Grote organisaties hebben meestal een aparte afdeling hiervoor, bijvoorbeeld risk management of een stafafdeling. Bij kleinere organisaties zie ik ook tussenvormen; iemand met dubbele rapportagelijnen die dan bijvoorbeeld gestationeerd is op de ict-afdeling maar ook verslag uitbrengt aan het management. Dat zijn nogal gekunstelde vormen, die volgens mij niet voor de lange termijn zijn.”
Groot versus klein
“Wij zitten bij grote bedrijven, die hun security al wel op orde hebben”, vertelt Wilbert Pijnenburg “Denk aan financiële instellingen, de centrale ministeries, farmaceutische bedrijven. We zijn nu ook veel bezig met gemeenten. Die zijn van nature niet zo volwassen qua beveiliging als echt grote organisaties.”
Bij kleinere organisaties krijgt de ict-afdeling, of de ict’er, informatiebeveiliging er als taak bij. Soms verplicht, soms uit eigen interesse. Vaak zijn kleinere organisaties dan ook niet zo goed bezig met hun informatiebeveiliging, stelt Wilbert Pijnenburg. Toch is dat geen wet van Meden en Perzen. “Klein staat niet gelijk aan slecht, of slechter. Er is een ontzettend verschil aan niveau afhankelijk van de organisatie-opzet; vind je dienstverlening het belangrijkste, of dat dat ook veilig moet. Kennisintensieve bedrijven bijvoorbeeld zijn uitzonderingen, die kunnen klein zijn maar heel bewust aan informatiebeveiliging doen.”
Meer weten?
Op de cursus Inzicht in Informatiebeveiliging leert u van Wilbert Pijnenburg hoe u persoonlijke data, vertrouwelijke informatie en het intellectueel eigendom van uw organisatie beveiligd en het beveiligingsbewustzijn van uw medewerkers vergroot.
Bron: Computable