Tijdens de jaarlijkse uitreiking van de Academy Awards won Citizenfour de Oscar voor beste documentaire. Deze film vertelt het verhaal van de inmiddels wereldbekende klokkenluider Edward Snowden, die de grootschalige afluisterpraktijken van de NSA en internationale overheden blootlegde. Volgens mij is dit wederom een belangrijk signaal dat bedrijven meer actie moeten ondernemen om hun informatiebeveiliging op het juiste niveau te brengen.
De eerste onthullingen van Edward Snowden werden in juni van 2013 gedaan. Sindsdien is er een continue stroom geweest van gelekte informatie, die heeft aangetoond dat vrijwel al onze gegevens en communicatie op het internet wordt afgeluisterd. Het gaat hier weliswaar om instanties en overheden die in principe het beste met ons voor hebben, maar dat neemt niet weg dat het een inbreuk is op ons privacy-recht. Ook in de IT-branche waren de effecten van de Snowden-onthullingen merkbaar. Organisaties gingen kritischer kijken naar de geografisch locatie van hun cloud-services, om maar niet onder de invloedssfeer van de Amerikaanse Patriot Act te vallen. Daarnaast zijn certificeringen voor informatiebeveiliging inmiddels een keiharde eis bij het kiezen van een IT-dienstverlener. Dat is opvallend, omdat dit voorheen in veel mindere mate op de IT-agenda stond.
Beveiligingskeurmerk
Dat informatie het meest waardevolle bezit is voor de meeste organisaties hoef ik niet uit te leggen. Het optimaal beveiligen van die informatie is van groot belang, maar realistisch gezien zijn de meeste bedrijven zo lek als een mandje. Informatiebeveiliging vereist een integrale aanpak, die door de hele organisatie is doorgevoerd, maar ook procesmatig wordt ondersteund door partners en IT-dienstverleners. Een belangrijk keurmerk op dit gebied is de ISO 27001-certificering, die een set standaarden definieert voor de inrichting en het gebruik van een Information Security Management Systeem (ISMS). Naast de juiste technologische middelen staat en valt beveiliging echter met de juiste processen en de manier waarop werknemers daar mee omgaan. Je kunt je beveiliging technologisch en procesmatig nog zo goed op orde hebben, maar dat is weinig waard als een werknemer nietsvermoedend zijn wachtwoord afgeeft aan een kwaadwillende hacker. Bij cyberinbraken blijkt de mens helaas nog vrijwel altijd de zwakte schakel in de beveiligingsketen te zijn.
Mensen en processen
Het introduceren van nieuwe bedrijfsprocessen, zelfs bij een belangrijk onderwerp als beveiliging, zal bijna altijd op weerstand stuiten bij het personeel. Het werk wordt er soms ingewikkelder door, soms enkel door het feit dat het afwijkt van de bestaande werkwijze. Om de weerstand onder de werknemers van mijn eigen organisatie te verzachten, organiseerden wij vorig jaar een ‘security awareness programma’. Het doel van dit online cursusprogramma was om onze werknemers behalve nieuwe processen en werkwijzen te leren, ook eens goed voor te lichten over de oorzaken en gevolgen van beveiligingslekken. Zowel digitale als fysieke manieren om op informatiesystemen in te breken werden belicht, waardoor de cursisten een veel beter beeld kregen van de beveiligingsrisico’s . Het overgrote deel van ons personeel slaagde met vlag en wimpel voor dit programma. Deze training zorgde er namelijk op een toegankelijke manier voor dat de beveiligingsproblematiek voor onze werknemers ging leven. Hierdoor zijn ze zich veel beter bewust van de risico’s en weten hoe ze op een verantwoorde manier moeten omgaan met bedrijfsinformatie. Volgens mij is een dergelijke training een belangrijke extra stap om beveiligingsbeleid binnen organisaties op een hoger niveau te krijgen.
Piet van Vugt, CEO van Pink Elephant
