Misvattingen en overdrijvingen tieren welig als het om beveiliging van informatie gaat.
Dat beweert Jay Heiser, vooraanstaand analist bij Gartner. Heiser destilleerde uit alle misvattingen en halve waarheden tien mythes die een belangrijke rol spelen in de discussie rond security van IT. Dagdromen en verantwoordelijkheden doorspelen is wat er vooral gebeurd.
1. Het gebeurt mij niet
Oorzaak: de hype over de risico’s zorgt voor gewenning, mensen geloven het wel. Daarnaast laten organisatie de werknemers te vrij in hun doen en laten onder het mom van kostenbesparingen.
Oplossing: Pak de verantwoordelijkheid rond security thema’s stevig beet. Een duidelijk (geclassificeerd) raamwerk kan daarbij helpen.
2. 10% van het IT-budget gaat op aan security
Oorzaak:
de wens is de vader van de gedachte. Uit onderzoek blijkt dat het percentage eerder rond de 5% ligt.
Oplossing: het bewijs ligt in de cijfers. Uit de boekhouding zal blijken dat ook het percentage bij jouw gemeente ver onder de 10% ligt.
3. Security-risico’s kunnen worden gekwantificeerd
Oorzaak:
Government by Excel. De illusie dat het hebben van veel data er voor zorgt dat je de problemen kan beheersen
Oplossing: IT-ers moeten duidelijker voor ogen hebben wat wel en wat niet kan worden gekwantificeerd. Omschrijf de risico’s op een niet cijfermatige wijze en zorg ervoor dat binnen alle geledingen van de organisatie eigenaarschap ontstaat over relevante IT-risico’s.
4. Wij hebben fysieke beveiliging, dus onze gegevens zijn veilig
Oorzaak:
Weer een geval van dat de wens de vader van de gedachte is. Risico’s worden nauwelijks begrepen.
Oplossing: Verschillende data vereisen een verschillend niveau van beveiliging. Houdt dat in de gaten bij de aanschaf van beveiliging.
5. Tijdelijke en complexe wachtwoorden verlagen het risico
Oorzaak:
Laksheid veroorzaakt een vals gevoel voor veiligheid. Heiser: “Passwords are not cracked, they’re sniffed”
Oplossing: die is voor wachtwoorden niet. Wel kan je medewerkers opvoeden, zodat zij ‘meer intelligente’ wachtwoorden gebruiken.
6. Goede beveiliging is verzekerd als de verantwoordelijkheid buiten IT ligt
Oorzaak:
Een oud adagium dat problemen bijna vanzelf oplossen door ze herschikken of reorganisaties. Problemen worden doorgeschoven.
Oplossing: Benoem en analyseer de kern van de zwakheden in het systeem van beveiliging.
7. Het beleid rond security is het probleem van de CIO
Oorzaak: Doorgeven van hete aardappels. Alle druk ligt op de schouders van de CIO, maar ondertussen wil niemand dat hij verteld hoe anderen hun werk moeten doen.
Oplossing: Maak security onderdeel van de bedrijfscultuur.
8. Koop je uit de problemen met de aanschaf een bepaalde tool
Oorzaak:
De externe zoektocht naar toveroplossingen voor complexe problemen. Wishful thinking
Oplossing: Grondige risico-analyse en stel heldere prioriteiten. Stel een meer jaren beveiligingsplan op.
9. Implementeer beleid, en klaar
Oorzaak:
dagdromerij
Oplossing: Maak het management verantwoordelijk en ‘pick your battles’
10. Encryptie is de beste beveiliging voor gevoelige data
Oorzaak:
de zoektocht naar de Heilige graal. Encryptie kan heel goed werken maar richt meestal meer schade aan. De verwachtingen zijn naïef hoog van deze complexe technologie. Wordt te vaak ook toegepast voor eenvoudig te beheersen problemen.
Oplossing: Expertise. Voordat je grote beslissingen neemt, wees er zeker van dat je ruime ervaring en kennis met cryptografie in huis hebt.
robkoch says
Bij Security spelen 3 belangrijke ‘pijlers’ in een organisatie een rol: de mens, de processen en de techniek. Mensen dienen bewust gemaakt te worden van de risico’s en gevaren bij het werken met informatie systemen. Dit kan bijvoorbeeld gebeuren door Security Awareness Training, het toepassen van goede communicatie op het gebied van Security. De techniek omhelst de meer technische zaken, zoals Firewalls, Intrusion detection systemen, Authentication, Access Management. Maar ook de inrichting en configuratie van de netwerken en systemen, etc. Het laten controleren van de security van applicaties en websites hoort ook in dit rijtje. Als laatste de processen. Hierbij gaat het om het juist inrichten van beleid en organisatie (Voldoen aan wet- en regelgeving), inrichting helpdesk, Patch management (ervoor zorgen dat iedereen op de laatste versies werkt van de gebruikte software), etc. Als laatste wil ik graag nog vermelden dat websites tegenwoordig een zeer groot isico vormen voor bedrijven. 75% van de hacks worden tegenwoordig uitgevoerd via de websites van organisaties. Onderzoek wijst uit dat 80% van de websites minimaal 1 kwetsbaarheid bevat die door hackers misbruikt kan worden om in te breken. Het laten controleren van de security van websites is dus KEY tegenwoordig. Met vragen over Security en in het bijzonder de security van applicaties en websites zijn wij voor u altijd bereikbaar. Met vriendelijke groet, Rob Koch (Sebyde BV) http://www.sebyde.nl
corne says
beste redactie,
Gebruik altijd even de spellingscontrole voor publicatie. Helaas is de inhoud van het artikel niet veel beter.