Verantwoordelijkheid voor IT-security ligt ook bij de business
12 november 2013 -
De recente ophef over de afluisterpraktijken van de Amerikaanse NSA en eerder de hack-aanvallen op banken en overheidsinstellingen, maken één ding heel duidelijk; veiligheid is in de digitale wereld niet vanzelfsprekend. Nergens. Desondanks is er binnen bedrijven en organisaties doorgaans weinig aandacht voor IT-security, weet Etienne van der Woude, Sales Manager van WatchGuard Benelux, en dat baart hem zorgen.
Van der Woude: "Mensen zijn heel alert op het afschermen van hun pincode, maar achter de pc waant iedereen zich onbespied. Men surft van site naar site en opent klakkeloos elke mail die binnenkomt."
Bewustzijn moet groeien
Moet dat gedrag veranderen? Vanuit het perspectief van het bedrijfsleven is bewegingsvrijheid op het web juist een groot goed. Van der Woude "Klopt! Ik ben ook beslist geen voorstander van het ‘op slot gooien’ van de IT. Daar bewijs je niemand een dienst mee, maar ik pleit wel voor meer ‘security awareness’ onder gebruikers. Als men zou weten hoe gewiekst cybercriminelen zijn bij het infiltreren in IT-systemen, zouden gebruikers veel alerter zijn." Van der Woude verwijst daarbij naar een recente studie van de Rabobank, waaruit blijkt dat de bank er van uitgaat dat meer dan negentig procent van de systemen van hun klanten geïnfecteerd is met malware. "Vraag een willekeurige gebruiker of zijn pc besmet is en men zal ontkennend antwoorden. Maar dat percentage bij de bank komt niet uit de lucht vallen."
Maar willen eindgebruikers, en vooral de business, zich bezighouden met bedreigingen vanuit de cyber-wereld? IT-security is het domein van de IT-afdeling, waarom zou men daar het hoofd over breken? "Was het maar zo simpel. Voor elke proces, dus ook voor security, geldt: het draait om people, process en technology. Anders gezegd, IT-security is niet alleen met technologie op te lossen. De attitude van de gebruiker en het opstellen van procedures is minstens zo belangrijk. Veel gebruikers hebben geen benul van de digitale narigheid die door IT-security wordt afgevangen en daarmee een beslag legt op de systemen. Iets meer bewustzijn op dat punt zou al een hoop schelen."
Verantwoordelijkheid
Dat roept de vraag op waar de verantwoordelijkheid voor IT-security ligt. Bij de IT-afdeling of bij de business? "Dat is voor mij geen zwart/wit plaatje," meent Van der Woude. "Natuurlijk, bij verreweg de meeste organisaties ligt de primaire verantwoordelijkheid voor de bedrijfsvoering bij de business en heb je een aantal ondersteunende diensten, waarvan IT er één is. Maar in de praktijk zie ik dat het vrijwel altijd om gedeelde verantwoordelijkheid gaat. Een organisatie kan stellen dat de IT veilig moet zijn, maar het is aan de IT-afdeling om daar invulling aan te geven. Ofwel de business neemt het initiatief, maar vervolgens bekijkt de IT-afdeling wat wel en niet kan en voert dat uit."
In het verlengde daarvan komt Van der Woude toch weer bij de ‘awareness’ onder eindgebruikers. "Als u als verantwoordelijke voor de IT-security, kunt laten zien wat zich afspeelt op het web en hoe u daar vanuit IT-security mee omgaat, dan kweekt u begrip bij de eindgebruikers. En dat zal tot gedragsverandering leiden."
Investeringen versus budget
Moeten bedrijven met het oog op de permanente bedreiging meer in IT-security investeren? Van der Woude: "Het is niet realistisch daar ‘ja’ op te zeggen, want IT-budgetten staan overal onder druk. Er komt niet meer geld voor IT-security beschikbaar. Men zal dus meer moeten doen met minder geld. Dat geldt voor IT in z’n algemeenheid en dus ook voor IT-security. Mijn advies is daarom; ga slim om met de middelen die u hebt en besef dat een garantie van 100 procent niet bestaat."
Betekent dit dat er achterdeurtjes van IT-systemen open blijven staan? Van der Woude "Nee beslist niet. Ook met een beperkt budget is een adequate IT-security realiseerbaar. Mijn insteek is meestal om in overleg met een klant vast te stellen wat de cruciale delen van het bedrijfsproces zijn. Vervolgens ga je op basis van prioriteit de IT-security inrichten. Maar de ‘andere kant’ zit uiteraard ook niet stil. Cybercriminaliteit wordt steeds geavanceerder en daarom kun je nooit stellen dat uw IT absoluut veilig is, want er komen elke dag nieuwe bedreigingen bij."
Helder stuk. Mooie aanvulling op mijn artikel eerder
Ik wil er nog aan toevoegen dat niet alleen de security-leveranciers bovenstaande mening hebben, maar ook de IT'ers zelf. Uit onderzoek blijkt dat meer dan driekwart van de IT-beheerders het steeds lastiger vindt zijn organisatie te beschermen, en dat een bijna even zo groot percentage richting het management kijkt voor de oplossing. Ze verwachten vanuit die hoek dat het onderwerp hoger op de agenda komt, en dat van hogerhand die genoemde bewustwording wordt gestimuleerd.
Het is natuurlijk wel lastiger voor kleinere ondernemers gezien de kosten hoog zijn voor goede bescherming. Wat dat betreft kunnen verzekeraars en het mkb veel voor elkaar betekenen. Verzekeraars (hebben over het algemeen veel kennis in huis) kan het mkb helpen om de bescherming te verhogen, en het MKB heeft ook bij een verzekering een vangnet als het mis gaat. Verzekeraars kunnen daarentegen hun omzet verhogen.