Home » Technology » Security » Boetes of een grote ramp brengen de businesscase voor security

Boetes of een grote ramp brengen de businesscase voor security

Tech Page One

Boetes of een grote ramp brengen de businesscase voor security

 

Cybersecurity lijdt in Nederland nog altijd aan versplintering, gebrek aan incentive en polderen. Andere landen doen het beter, maar boetes brengen nu een businesscase. Dit zijn enkele hoogtepunten uit een security-roundtable van Dell.

“Vitale infrastructuur heeft geen passende incentive voor security,” meent directeur Ronald Prins van security-specialist Fox-IT. Hij legt uit: “Als een energieleverancier down is, dan kost hem dat misschien een miljoen euro per dag, maar het kan het land wel een miljard per dag kosten.” Prins nam onlangs deel aan een door Dell georganiseerde roundtable over cybersecurity. Na zijn presentatie met voorschot op de discussie bespreken de diverse experts de hete hangijzers.

Polderen en versplinteren

Boetes of een grote ramp brengen de businesscase voor securityNederland loopt op landsniveau achter op andere landen, waar cybersecurity beter is ingeregeld, luidt een volgende conclusie in de gezamenlijke analyse. Andere landen streven de beveiliging van hun eigen ICT-infrastructuur agressiever na. In Nederland wordt er veel gepolderd, wat niet altijd gunstig is. Een deel van het probleem is dat de aanpak van cybersecurity in Nederland nogal versplinterd is. Elke instantie en industrie lijkt zijn eigen koninkrijkje te hebben, luidt een volgende conclusie in de analyse tijdens de roundtable. “En dat terwijl we in Nederland zó afhankelijk zijn van het digitale,” verzucht Prins.

Steven Daniëls, managing director van Grabowsky, reageert met een optimistische gedachte: “Al die versplintering samengevoegd kan wel een goed, of in ieder geval beter, SOC opleveren.” De notie van een landelijk Security Operations Center (SOC) kan de BV Nederland veel schelen. Landen als Groot-Brittannië en Frankrijk hanteren al een dergelijke aanpak. Onduidelijk daarbij is hoe groot dan de rol van de geheime diensten moet zijn.

Bedrijfstaak

Cybersecurity is echter niet iets dat overgelaten moet worden aan alleen de overheid of aan gespecialiseerde overheidsinstanties. De overheid kan namelijk zeer bureaucratisch opereren en het daardoor afleggen tegen de snelle ontwikkelingen op security- en cybercrime-gebied. “De offensieve markt is hoe dan ook veel sneller dan de defensieve markt”, zegt Barry van Kampen, ethisch hacker en managing director van The S-Unit. “We moeten de technologische vooruitgang loskoppelen van de politiek,” pleit hij.

Bedrijven moeten niet simpelweg vertrouwen op de overheid. Ze hebben voor cybersecurity een grote eigen verantwoordelijkheid en die moeten ze meer nemen. Deze constatering krijgt bijval van de aanwezige deskundigen die hun expertise uiten in de IT Security for Business-blogs op Computable. Een van de belemmeringen voor betere ICT-beveiliging door het bedrijfsleven is dat security toch nog wel wordt gezien als alleen een uitgavenpost. Het kan moeilijk zijn om investeringen in security te onderbouwen met argumenten die begrijpelijk zijn voor de business, laat staan met businessvoordelen. “Wanneer heb je het goed gedaan? Als er níets is gebeurd,” vat Steven Daniëls het dilemma samen.

Kosten en baten

IT-security consultant Martijn Sprengers van KPMG IT Advisory is hoopvol: “De boetes die we nu in Nederland invoeren, brengen de businesscase.” Hij verwijst onder meer naar de vernieuwde meldplicht datalekken die forse boetes met zich mee kan brengen. Het voorkomen daarvan is een duidelijk businessbelang.

Toch kan uitvoering in de praktijk lastig zijn. “Het is moeilijk voor de board om goede vragen aan de CIO te stellen,” legt Ronald Prins uit. Op een vraag hoe een organisatie ervoor staat qua security, kan namelijk het eigen nietszeggende antwoord volgen dat er voor een miljoen euro aan applicaties is besteed en voor twee jaar aan security-consultants.

Barry van Kampen merkt op dat de gemiddelde leeftijd, 50+, van een lid van de raad van bestuur meespeelt. “Je kunt zó een parallel naar de politiek trekken.” Jos Akkermans, directielid van Grabowsky, werpt tegen: “De board weet wel wat ondernemen is en wat risico’s zijn.” Maar IT- en security-mensen kunnen dat niet altijd goed uitleggen, stelt hij.

Los van uitleg is er nog het gebrek aan voorzorgsmaatregelen, oppert Dave Vijzelman, principal solution architect IDAM (Identity and Access Management) bij Dell Software. “Er moet meer preventief aan security worden gedaan. We moeten beter nadenken.”

Wachten op de grote ramp?

Daarbij is er niet alleen het risico van dreigende boetes voor security-incidenten waarbij persoonsgegevens worden gelekt. Daarnaast staan nog de kosten van succesvolle datadiefstallen of cyber-aanvallen. Afweer, onderzoek, reparatie, reputatieschade, het zijn allemaal kostbare en tijdrovende handelingen die ondernemingen veel geld kosten. Ondanks grote incidenten van de afgelopen tijd, lijkt deze les nog niet geleerd. “Blijkbaar is er nog geen ramp geweest die groot genoeg is,” zegt Prins.

De aanwezige experts zijn het eens met Vijzelmans stelling dat 100 procent veiligheid niet mogelijk is. Toch moet er wel naar constante verbetering worden gestreefd. “Maar wat is voldoende security?,” snijdt Prins de hamvraag aan. “We moeten net zoals bij een boorplatform meer denken aan safety dan aan security”, wijst Martijn Sprengers op het belang van de juiste mindset. Zakelijk gezien gaat het erom risico’s te accepteren en daarvoor dan wel geld apart te zetten. Daniëls: “Het gaat om de combinatie: én acceptatie van risico’s én voorbereid zijn voor als – of: zodra – het misgaat.”

Michelin-sterren versus thuiskoken

Voorbereid zijn komt voor een deel neer op expertise, die lang niet alle bedrijven zelf in huis kunnen hebben. Extern is er veel expertise beschikbaar, maar die wordt niet altijd aangehaald. Van Kampen verbaast zich over het gebrek aan vertrouwen in security-experts en -dienstverleners. “We gaan wel naar restaurants omdat we erkennen dat een kok beter kookt dan wij zelf. Wanneer accepteren we dat nu eens voor security?”

 

 

Dell

Dell

Dell stelt landen, gemeenschappen, klanten en mensen overal ter wereld in staat om technologie te gebruiken om hun dromen te realiseren. Klanten vertrouwen op ons voor technologische oplossingen die hen helpen meer te doen en te bereiken, of ze nu thuis, op het werk, school of waar dan ook zijn. Leer meer over ons verhaal, ons doel en de mensen achter onze klantgerichte aanpak.

Laatste Artikels:

 

Tags: Security, Technology