Vanaf 1 januari 2016 ontkomt geen enkele organisatie aan de strengere Wet Bescherming Persoonsgegevens, met daarin de meldplicht bij datalekken. Een goede IT-beveiliging is vanaf dan noodzakelijker dan ooit. Daarvoor is een goede security-basis essentieel. Maar hoe leg je die?
IT-beveiliging is allesbehalve eenvoudig. Organisaties staan bloot aan zoveel gevaren en problemen, dat het soms lastig te bepalen is waar te beginnen. Maar voordat er gedacht wordt aan allerlei branche- en organisatiespecifieke beveiligingsmaatregelen, is het leggen van een goede basis enorm belangrijk. Een huis bouw je immers ook niet zonder goede fundering.
1) Stem beveiligingsmaatregelen af met de bedrijfsdoelen
Het uitgangspunt van een beveiligingsstrategie lijkt simpel: het beveiligen van alle data assets. Maar juist dat kan resulteren in een enorm hoofdpijndossier. Althans, als het niet vanaf het begin rekening houdt met de uitgangspunten en doelstellingen van de organisatie. Een goede beveiligingsbasis begint bij het bedenken hoe de beveiligingsstrategie de doelen van de organisatie kan ondersteunen in plaats van dwarsbomen.
Draagvlak voor de strategie is enorm belangrijk. Een firewall kan bijvoorbeeld heel netjes alle hackers buiten de deur houden en al het dataverkeer intensief scannen. Maar wat als daardoor bijvoorbeeld de netwerksnelheid buiten proporties daalt en een onwerkbare situatie ontstaat? Niet alleen ondermijnt de IT-beveiliging dan de hogere organisatiedoelen, maar ook het interne draagvlak verdwijnt als sneeuw voor de zon. Een ondoordachte ‘alles op slot’-strategie is vaak de beste manier voor een IT-afdeling om zich binnen de kortste keren tot staatsvijand nummer 1 te bombarderen. Balans is dus enorm belangrijk. Concessies aan informatiebeveiliging zijn best bespreekbaar, als die ten goede komen van de productiviteit, flexibiliteit of werkbaarheid. Die risico’s moeten dan wel uiterst weloverwogen en bovendien goed gedocumenteerd zijn. Dat verkeerde keuzes gemakkelijk gemaakt zijn, bewijst Chrysler. Zij besloten het infotainment-systeem in hun Jeeps niet op afstand updatebaar te maken. Het gevolg was een dure en foutgevoelige terugroepactie.
2) Zorg voor solide beveiligingsmanagement
De uitrol van beveiligingstechnologie is vrij nutteloos als iedereen vervolgens een ‘set-and-forget’-strategie hanteert. De IT-afdeling moet continu bewaken dat de beveiliging in dienst staat van de organisatie en niet andersom. Maar ook het hogere management moet inzien dat de beveiliging onderdeel uitmaakt van een langetermijnstrategie en een cyclus van continue verbeteringen.
Allereerst is het belangrijk alle informatietechnologie continu te updaten. Cybercriminaliteit ontwikkelt zich in een rap tempo, de beveiliging kan daarbij niet achterblijven. Je zet immers ook geen twintig jaar oud slot op een nieuwe fiets. Een goed update- en patchbeleid verdient de hoogste prioriteit.
Naast updates is ook een continue blik op de gebruikservaring belangrijk. Daarvoor is een gefaseerde aanpak nodig. Zo kunnen problemen opgelost worden voordat ze de kans krijgen de business te frustreren. Het is verstandig te beginnen bij meer ervaren gebruikers, zodat op de basis van hun feedback de gebruikservaring van iedereen uiteindelijk zo optimaal mogelijk is. Niet alleen moeten oplossingen technisch goed werken, ze moeten ook geen belemmering vormen voor ieders werkzaamheden.
Tenslotte is testen één van de meest kritieke onderdelen van een succesvol beveiligingsbeheer. Dat moet gebeuren voor alle implementaties, of het nu gaat om nieuwe zaken of updates. Zeker als het gaat om zaken die een rol spelen voor de continuïteit van de organisatie. Neem bijvoorbeeld back-up. Veel organisaties hebben nooit de recovery getest, totdat het een keer echt fout gaat en de oplossing niet blijkt te werken.
3) Vergroot de bewustwording bij het personeel
Alle bovenstaande stappen zijn voor niets als de organisatie de menselijke factor niet meeweegt. Niet alleen zijn mensen vaak de zwakste schakel als het gaat om informatiebeveiliging. Ook kunnen nieuwe procedures en afspraken op veel weerstand stuiten. Een solide verandermanagement is noodzakelijk.
Ten eerste is een goede training van het personeel onontbeerlijk. Ze moeten vertrouwd raken met de nieuwe processen en technologieën. Maar training alleen is niet genoeg. Creëer draagvlak door bij iedere verandering of nieuwe technologie de nadruk te leggen op de voordelen. Bedenk altijd: what’s in it for them? Zeker wanneer procedures extra handelingen of drempels opwerpen, zoals bij tweestapsverificatie, is het goed daar de nadruk op leggen. Zonder draagvlak hebben beveiligingsmaatregelen weinig nut. En uiteindelijk heeft een goed beveiligingsbeleid veel voordelen voor de gebruikers. Zij moeten daarvan doordrongen zijn
Deze drie fundamenten zien er op papier vrij eenvoudig uit, maar vergen in de praktijk veel werk. Shortcuts en trucjes bestaan er voor IT-beveiliging helaas niet. Maar wanneer je deze drie punten in het achterhoofd houdt, voorkom je dat al het werk uiteindelijk voor niets blijkt te zijn. Security is geen eenmalig project met een begin en een einde, maar een continu proces, waarbij de menselijk factor doorslaggevend is. Dit proces is bovendien enorm belangrijk: niet alleen kun je je zo als bedrijf onderscheiden wat betreft informatiebeveiliging, het is uiteindelijk ook een voorwaarde voor het probleemloos uitoefenen van de core business.