Select your location
Austria

Austria

Czech Republic

Czech Republic

Germany

Germany

Italy

Italy

The Netherlands

The Netherlands

Romania

Romania

Sweden

Sweden

Greece

Greece

"IT-manager ontslagen na HAFNIUM-hack"

"IT-manager ontslagen na HAFNIUM-hack"

De kop boven dit artikel zou zo maar in een krant of vakblad kunnen staan. Maar bij mijn weten zijn er (nog) geen IT-managers ontslagen als gevolg van het recente HAFNIUM-incident. Toch vind ik deze kop gepast. We waren weer ‘geschokt’ en er was paniek in de tent. In dit soort situaties zijn het vaak de IT-managers en CIO’s die afgerekend worden op een inbraak of datalek. Soms terecht, vaak ook niet.

De recente kwetsbaarheden in Microsoft Exchange-servers leidden tot de gebruikelijke reflexen in het bedrijfsleven: paniek, chaotische ad-hoc acties en veel beslag op allerlei resources in het bedrijf dat toch al drukbezet is. Je kunt je afvragen waarom, want incidenten als deze worden gewoon ‘business as usual’. En de enige manier om je ertegen te wapenen, is om de héle business te betrekken in het IT-security beleid. Een duur alarm op je huis is ook zinloos als je de kinderen niet opdraagt de deur op slot te doen.

 

Security als black box

Dat IT-managers en CIO's vaak de schuld krijgen van deze kwetsbaarheden is een gevolg van de te nauwe blik in de boardroom als het gaat om IT-security en data-integriteit. Daar wordt information security vaak gezien als black box – een ondoorgrondelijke trukendoos die, zolang er maar genoeg geld in wordt gestort, afdoende is om de bad guys buiten de deur te houden. En als er dan toch iets misgaat, kijkt iedereen naar de CIO.

 

Maar het bewaken van data-integriteit kan en mag nooit de taak zijn van één business unit. Het belang ervan moet breed worden onderkend en iedereen binnen de organisatie moet zijn verantwoordelijkheid kennen én nemen.

 

Hoeveel security is genoeg?

Een gebrek aan kennis staat deze bewustwording echter in de weg. Hoe herken je dit? Bijvoorbeeld aan de bekende vragen ‘hoeveel moet ik uitgeven aan IT security?’ of ‘hoeveel security heb ik nodig?’ Gelukkig bieden die vragen een mooie ingang om dataveiligheid uit te leggen – en het belang van een integrale aanpak aan te tonen.

Zie je organisatie als een huis. Hoeveel beveiliging heeft dat huis nodig? Dat ligt eraan waar het huis staat, wat voor soort huis het is, wat er in huis ligt en hoe groot de kans op inbraak is. Wat zijn de crown jewels? Dat is niet die dure LCD-tv aan de muur, die is vervangbaar. Maar geldt dat ook voor dat kunstwerk aan de muur of het erfstuk met geen financiële maar wel grote emotionele waarde?

 Zie je organisatie als een huis. Hoeveel beveiliging heeft dat huis nodig? Dat ligt eraan waar het huis staat, wat voor soort huis het is, wat er in huis ligt en hoe groot de kans op inbraak is.

Slot met toegangscode

Pas als je weet wat je schatten zijn, kun je keuzes maken voor je security. Alleen een slot voldoet niet meer, dus installeer je ook een toegangscode. Toch moeten we er altijd rekening mee houden dat er ondanks die basisbeveiliging toch weleens iemand naar binnenglipt. Dus kijken we verder. Het kunstwerk kunnen we beveiligen met een stalen kooi, maar die ontsiert het interieur. Een verdekt opgesteld mistsysteem dat de inbreker in de war brengt, is wel een optie. Een camerasysteem dat registreert in welke kamers de inbreker rondneust, is ook geen overbodige luxe.

Er wonen ook kinderen in huis. Zij raken weleens hun sleutel kwijt of vergeten de deur op slot te doen. Zou een inbraak dan de schuld zijn van het beveiligingsbedrijf? Zelfs met de meest geavanceerde veiligheidssystemen moeten we onze medebewoners continu bewust blijven maken van hun eigen verantwoordelijkheid. Zo blijft ook data security een samenspel tussen techniek, processen en mensen, waarbij de business units verschillende belangen hebben.

 

 Er wonen ook kinderen in huis. Zij raken weleens hun sleutel kwijt of vergeten de deur op slot te doen. Zou een inbraak dan de schuld zijn van het beveiligingsbedrijf?

Helemaal uitsluiten dat er iemand binnendringt kunnen we dus nooit. We kunnen wel voorbereid zijn, drempels opwerpen, de tijd dat inbrekers binnen zijn minimaliseren en de schade beperken. Met stevige maatregelen én alerte bewoners houden we dat kunstwerk waar het hoort: thuis aan de muur.