Management Crisismanagement
Vakgebieden en Sectoren ICT & Internet

Security: een zaak van ICT of van het hele bedrijf?

De CIO en ICT kunnen niet alle lekken dichten

Gerard Jans
3595
0
0
Columns

Steeds vaker worden we via de media geconfronteerd met veiligheidsincidenten ten aanzien van gegevens van personen of bedrijven. Security faalt: verbindingen vallen uit, gegevens verdwijnen of zijn niet beschikbaar, bedrijven worden gehackt of een computervirus infecteert grote instellingen. Van oudsher wordt er gekeken naar ICT afdelingen bij dit soort incidenten. Met name het hoofd ICT of de CIO moet zich verantwoorden. Terecht? Nee!

De CIO en security

ICT is allang geen technisch trucje meer van ongewassen mensen met vettig haar, die nachtenlang achter PC's verblijven. ICT kennis is uiteraard binnen een ICT afdeling goed aanwezig en geborgd, maar om ICT als eiland binnen een organisatie te poneren is een structurele denkfout, die helaas nog erg vaak voorkomt. De functie van Hoofd ICT valt vaak nog onder CFO en mocht er al een CIO aanwezig zijn, wil dat nog niet zeggen dat deze vertegenwoordigd is in de Management Board en meebeslist over de strategie van het bedrijf. En dat is niet handig, bedreigend zelfs. Wil je security binnen een bedrijf beter borgen, dan zul je dit als bedrijf integraal moeten uitvoeren. Niet alleen als ICT afdeling, nee, met iedereen.

ICT en fysieke veiligheid

Fysieke beveiliging van bedrijven is vaak goed op orde en uitgekristalliseerd. Datacenters kom je zonder grof geweld niet binnen. ICT beveiliging heeft wel raakvlak met fysieke beveiliging, maar is constant in ontwikkeling. Externe hackers acteren ook sneller dan het bedrijf, die maatregelen moet nemen, software moet aanpassen en testen. Security bevat vaak de volgende kernbegrippen:
- Beschikbaarheid: het zeker stellen van informatie en essentiële diensten op de juiste tijd en plaats beschikbaar voor gerechtigde gebruikers;
- Integriteit: het waarborgen van de correctheid en de volledigheid van informatie, en apparatuur;
- Vertrouwelijkheid: beschermen van informatie tegen ongeautoriseerde toegang.

Eigenlijk zou het vierde begrip Verantwoordingsplicht toegevoegd moeten worden: het achteraf kunnen verantwoorden van handelingen ten aanzien van toegangsrechten, gegevens, programmatuur, beveiliging, enzovoort. En dat op elk niveau van het bedrijf.

Leverancier

Het uitbesteden van cruciale processen aan een leverancier is risicovol, temeer er vaak verzuimd wordt de leverancier mee te laten praten op beslissingsniveau binnen het bedrijf. Men acht de gesprekken op Board niveau te gevoelig voor de leverancier. Daarmee zet men de leverancier als het ware ook weer op een eiland, hetgeen Security niet ten goede komt. Bovendien wijst een bedrijf erg graag naar de leverancier als schuldige bij een incident, maar vergeet daarbij dat toch wel degelijk het eigen imago ten gronde gaat.

Personeel

Het grootste risico voor beveiliging echter ligt op het gebied van het (tijdelijk) personeel. Het personeel is zich vaak niet eens bewust van de gevaren. Richtlijnen van Security Management worden vaak als lastig en overdreven ervaren. Er wordt geen eigen verantwoordelijk gevoeld ten aan zien van beveiliging, daar let de ICT afdeling of de Security Manager immers op.

Ten aanzien van wachtwoordensterkte, actieve accounts van mensen die ziek zijn of uit dienst, encryptie, mailforwarding, screening, en de gevaren van Het Nieuwe Werken, met allerlei externe locaties, verbindingen en opslagmedia is al erg veel geschreven. Toch wordt er nog veel laks mee omgesprongen.

Security borgen

Het simpelweg neerleggen van securityproblemen bij de CIO, zonder verdere managementaandacht, is te kort door de bocht. Security is de verantwoordelijkheid van het hele bedrijf. ICT kan goed faciliteren ten aanzien van technische aspecten en maatregelen rondom Security, maar moet er voor waken bij de tijd te blijven.

Het zou een goede zaak zijn als bedrijven, zeker naar aanleiding van recente ontwikkelingen, een GAP analyse zouden maken ten aanzien van de beveiligingsrisico's die ze lopen. Een externe partij kan hier een onafhankelijke mening over geven.

Maar alle analyses en maatregelen ten spijt, op het gebied van menselijk gedrag kan vandaag al een maatregel ingaan. Het starten van het bewustwordingsproces onder het personeel. Security is een zaak van iedereen, met elkaar. Van proceseigenaar naar medewerker. Ook al ben je druk met je dagelijkse bezigheden, het veiligheidsaspect kun je niet uit het oog verliezen.

Gerelateerde artikelen
ICT & Internet
veilig

Top tien grootste security-blunders

Etienne van der Woude
4806
1
ICT & Internet
cio_paulprooij

De gemeente als tussenhandelaar?!

Erik Seveke
12206
2
ICT & Internet
Cultuurverschillen onderschat bij het uitbesteden van IT - Stammenstrijd aan de orde van de dag

Efficiënter IT beheer

Paul Esselink
3835
1
Projectmanagement
Middels cocreatie en 'kort op bal' wél succesvolle ICT projecten realiseren.

ICT projectmanagement: van push naar pull!

Dirk-Jan de Bruijn
15808
7
Globalisering
De CIO-functie in de publieke sector - Acteren over je eigen landsgrenzen heen

De CIO-functie in de publieke sector

Dirk-Jan de Bruijn
3474
0
Projectmanagement
water

Hoezo ict-fiasco bij Waterschappen?

Nico Beenker
24666
1
ICT & Internet
Ontevreden over uw ICT servicedesk? - De servicedesk werkt conform afspraak en plan maar de klant baalt

Ontevreden over uw ICT servicedesk?

Erwin Molenaar
48742
8

Kom met uw praktijkervaringen op het terrein van managen en organiseren

Deel uw kennis, schrijf 3 columns of artikelen en ontvang een gratis pro-abonnement (twv €200)

Word een pro!

SCHRIJF MEE >>

Meer over Crisismanagement