We mogen 2013 gerust een dramatisch jaar noemen op het gebied van security. Veel bedrijven en overheidsorganisaties zijn hard met hun neus op de feiten gedrukt. Door de vele incidenten kan niemand er meer omheen: er moet iets gebeuren op het gebied van IT-security, anders gaat het echt fout. En dan te bedenken dat de vele incidenten die we afgelopen jaar hebben gezien eigenlijk nog maar het topje van de ijsberg vormen. Menig bedrijf heeft immers vaak lange tijd helemaal niet in de gaten dat onbevoegden in hun gegevens rondneuzen.
Het Amerikaanse Ponemon Institute kwam enkele jaren terug als eerste onderzoeksinstelling naar buiten met cijfers over de kosten van security-incidenten. Dat was schrikken voor veel CIO’s en IT-managers. De staat Californië reageerde hier snel op door bedrijven die te maken hebben met een security-probleem waarmee privacy-gevoelige gegevens gemoeid te verplichten dit openbaar te maken. Inmiddels is ook in andere landen – waaronder Nederland – de wetgeving op die manier aangepast.
Mijlpalen in security
Dat zijn voor mij twee heel belangrijke mijlpalen in de security-wereld geweest. Niet alleen is nu heel duidelijk hoeveel financiële pijn een security-incident een bedrijf doet, maar het raakt een onderneming ook op een ander gevoelig punt: zijn reputatie bij klanten en partners. Alleen op die manier komt IT-security daadwerkelijk op de agenda van de directie. Security is in mijn ogen namelijk eerst en vooral een zaak van zakelijke risico’s. Veel bedrijven zien security tot nu toe echter als een technisch probleem dat door de IT-afdeling moet worden opgelost. Maar daarbij vergeten zij een heel belangrijk aspect: de IT-afdeling kan helemaal niet inschatten welke risico’s een bedrijf loopt en moet dus noodgedwongen proberen om de gehele IT-infrastructuur van de organisatie dicht te timmeren. En dat lukt niet.
Ik zou de zaak daarom liever omdraaien: laten we eerst eens goed kijken welke risico’s een bedrijf in zijn werkprocessen mag of bereid is te lopen. Sommige gegevens zijn nu eenmaal waardevoller dan andere. Vanwege het commercieel belang dat er mee is gemoeid. Of omdat de wetgever hier heel nadrukkelijk eisen aan stelt. Of omdat het verlies van bepaalde data tot gênante vragen in de pers kan leiden. Maar ten aanzien van andere gegevens of werkprocessen schat een bedrijf de risico’s misschien wel minder hoog in.
Er kunnen dus grote verschillen zitten tussen de risico’s die we als organisatie ten aanzien van specifieke bedrijfsgegevens of werkprocessen bereid zijn te lopen. Desondanks proberen we nog steeds de gehele IT-infrastructuur op een en dezelfde manier te beveiligen. Ik denk dat het beter is om het anders aan te pakken. Het juiste startpunt van een goed opgezette security-aanpak is in mijn ogen: risicobeheer. We weten pas welke technische security-maatregelen we moeten nemen, als we weten welke risico’s we bereid zijn te lopen. Hebben we eenmaal goed inzicht in die risico’s, dan weten we ook meteen op welke punten we wat security betreft de nadruk moeten leggen. Op die manier is security nauw gekoppeld aan de business. En dat is precies zoals het hoort!
Henk van der Heijden is partner bij security-firma TecHarbor
