De recente kwetsbaarheden in Microsoft Exchange-servers leidden tot de gebruikelijke reflexen in het bedrijfsleven: paniek, chaotische ad-hoc acties en veel beslag op allerlei resources in het bedrijf dat toch al drukbezet is. Je kunt je afvragen waarom, want incidenten als deze worden gewoon ‘business as usual’. En de enige manier om je ertegen te wapenen, is om de héle business te betrekken in het IT-security beleid. Een duur alarm op je huis is ook zinloos als je de kinderen niet opdraagt de deur op slot te doen.
Security als black box
Dat IT-managers en CIO's vaak de schuld krijgen van deze kwetsbaarheden is een gevolg van de te nauwe blik in de boardroom als het gaat om IT-security en data-integriteit. Daar wordt information security vaak gezien als black box – een ondoorgrondelijke trukendoos die, zolang er maar genoeg geld in wordt gestort, afdoende is om de bad guys buiten de deur te houden. En als er dan toch iets misgaat, kijkt iedereen naar de CIO.
Maar het bewaken van data-integriteit kan en mag nooit de taak zijn van één business unit. Het belang ervan moet breed worden onderkend en iedereen binnen de organisatie moet zijn verantwoordelijkheid kennen én nemen.
Hoeveel security is genoeg?
Een gebrek aan kennis staat deze bewustwording echter in de weg. Hoe herken je dit? Bijvoorbeeld aan de bekende vragen ‘hoeveel moet ik uitgeven aan IT security?’ of ‘hoeveel security heb ik nodig?’ Gelukkig bieden die vragen een mooie ingang om dataveiligheid uit te leggen – en het belang van een integrale aanpak aan te tonen.
Zie je organisatie als een huis. Hoeveel beveiliging heeft dat huis nodig? Dat ligt eraan waar het huis staat, wat voor soort huis het is, wat er in huis ligt en hoe groot de kans op inbraak is. Wat zijn de crown jewels? Dat is niet die dure LCD-tv aan de muur, die is vervangbaar. Maar geldt dat ook voor dat kunstwerk aan de muur of het erfstuk met geen financiële maar wel grote emotionele waarde?
Zie je organisatie als een huis. Hoeveel beveiliging heeft dat huis nodig? Dat ligt eraan waar het huis staat, wat voor soort huis het is, wat er in huis ligt en hoe groot de kans op inbraak is.
Slot met toegangscode
Pas als je weet wat je schatten zijn, kun je keuzes maken voor je security. Alleen een slot voldoet niet meer, dus installeer je ook een toegangscode. Toch moeten we er altijd rekening mee houden dat er ondanks die basisbeveiliging toch weleens iemand naar binnenglipt. Dus kijken we verder. Het kunstwerk kunnen we beveiligen met een stalen kooi, maar die ontsiert het interieur. Een verdekt opgesteld mistsysteem dat de inbreker in de war brengt, is wel een optie. Een camerasysteem dat registreert in welke kamers de inbreker rondneust, is ook geen overbodige luxe.
Er wonen ook kinderen in huis. Zij raken weleens hun sleutel kwijt of vergeten de deur op slot te doen. Zou een inbraak dan de schuld zijn van het beveiligingsbedrijf? Zelfs met de meest geavanceerde veiligheidssystemen moeten we onze medebewoners continu bewust blijven maken van hun eigen verantwoordelijkheid. Zo blijft ook data security een samenspel tussen techniek, processen en mensen, waarbij de business units verschillende belangen hebben.
Er wonen ook kinderen in huis. Zij raken weleens hun sleutel kwijt of vergeten de deur op slot te doen. Zou een inbraak dan de schuld zijn van het beveiligingsbedrijf?
Helemaal uitsluiten dat er iemand binnendringt kunnen we dus nooit. We kunnen wel voorbereid zijn, drempels opwerpen, de tijd dat inbrekers binnen zijn minimaliseren en de schade beperken. Met stevige maatregelen én alerte bewoners houden we dat kunstwerk waar het hoort: thuis aan de muur.