Home Security Grip op security in een complexe wereld

Grip op security in een complexe wereld

67
security

De tijd dat een ICT-manager alles kon begrijpen wat er in zijn omgeving gebeurt ligt ver achter ons. De hoeveelheid systemen, protocollen, applicaties en technologieën is zo uitgebreid dat één mens het niet allemaal meer kan bevatten. En dan wordt die manager vaak óók nog belast met de security. Die is net zo complex geworden en bovendien geen uitsluitend technische aangelegenheid meer. Security raakt ook de mensen en processen in de organisatie. Hoe kunnen we deze overbelaste ICT-managers de helpende hand bieden?

Securityissues

In onze dagelijkse praktijk zien we aan de lopende band securityissues ontstaan in de ICT-omgevingen van klanten. Het gaat dan om relatief eenvoudige misconfiguraties, tot aan zeer geavanceerde malware. De ICT-beheerders of de IT-manager doen hun uiterste best om binnen de grenzen van de organisatie het maximale te behalen. En toch is dat maximale niet meer voldoende om weerstand te kunnen bieden tegen de twee grote risico’s die een organisatie tegenwoordig loopt: de bedrijfsprocessen stoppen en de organisatie wordt aansprakelijk gesteld voor een negatieve impact bij een klant, leverancier of medewerker.

De kennis en kunde van de ICT-afdeling wordt vanzelfsprekend ook bepaald door financiële grenzen. Alleen worden die gesteld door medewerkers die lang niet altijd goed kunnen inschatten wat de risico’s zijn en welke financiële schade de organisatie kan oplopen als het misgaat. Meestal is er een procentuele richtlijn aangehouden wat ICT inclusief security mag kosten. Over het algemeen zien we een bandbreedte tussen de 5 en 10% van de totale kosten. Is dat wel genoeg, moeten we daar a priori wel een vaste bandbreedte voor hanteren??

Moeten we de kosten van security niet afzetten tegen de kans dat iets misgaat én de impact die dat dan heeft? Wat is het waard om een klein risico met een desastreuze impact te voorkomen? Of omgekeerd: een flink risico met beperkte impact. Want risicobeheersing is in de kern waar het om draait in een wereld waarin bedrijven niet alleen financiële schade maar zeker ook reputatieschade moeten vermijden.

Continuïteit

Zo bekeken betekent het dat op het niveau van directie, aandeelhouders en/of raden van bestuur bepaald moet worden wat de organisatie moet uitgeven om het securityrisico te voorkomen, in feite op dezelfde manier waarop andere risico’s moeten worden afgedekt. En dat geldt dan niet alleen voor technische zaken maar ook voor personele en organisatorische zaken. Wat is er nodig om de ICT-manager zijn rol zodanig te laten vervullen dat continuïteit is gegarandeerd en aansprakelijkheidsclaims voorkomen worden? Als op dit niveau niet voorzien wordt in wat er nodig is om de belangrijkste securityrisico’s te voorkomen, kunnen we ook niet zeggen dat een securityincident per definitie de schuld is van de ICT-manager.

In de kern gaat het om deze vragen: welke organisatorische, technische en menselijke maatregelen zijn getroffen om continuïteit te borgen? Hoe kunnen we aantonen dat deze maatregelen ook effectief zijn? Welke controlemiddelen hebben we ingezet om rond de AVG de nodige bewijslast te leveren? De harde praktijk is dat de verantwoordelijkheid voor security te snel wordt neergelegd bij de ICT-manager, maar die kan deze vragen slechts ten dele beantwoorden.

Dus directies in deze complexe wereld: help uw ICT-managers om de security in te richten. Accepteer dat ze niet alles kunnen weten en dat het aan u is om hen de juiste randvoorwaarden te bieden.  Alleen dan kunt u de onvermijdelijke securityrisico’s effectief het hoofd bieden.

Aad van Boven, CEO van SecureMe2

LAAT EEN REACTIE ACHTER

Please enter your comment!
Please enter your name here