Home » Technology » Security » Vijf aandachtspunten om IT-security te verbeteren

Vijf aandachtspunten om IT-security te verbeteren

Tech Page One

Main Article Image

 

 Als we in Nederland zo cyber-georiënteerd zijn, waarom zijn we dan nog steeds zo kwetsbaar? Security is niet alleen een kwestie van investeren in de juiste technologie. Als je dat doet ben je alleen maar bezig met symptoombestrijding . De nadruk bij verbetering van je informatiebeveiliging ligt op bewustwording en procesverbetering in je hele organisatie.

Een goed voorbeeld van slechte beveiliging door gebrekkige processen is de ophef over de ‘politiemol’ Mark M. De man werkte 6 jaar bij de politie en kreeg in die tijd toegang tot vertrouwelijke informatie van de AIVD na een gebrekkige screening. Inmiddels is hij aangehouden, omdat hij ervan verdacht wordt deze informatie aan de onderwereld verkocht te hebben. Dit is vanzelfsprekend zeer ernstig, maar zouden er niet talloze organisaties zijn die slordig met omgaan met inlog-autorisaties omgaan, bijvoorbeeld door de accounts van voormalige werknemers niet op te schonen? Hoeveel mollen zijn er in het bedrijfsleven actief? De technische security kan dan nog zo goed zijn, maar is uiteindelijk zo lek als een mandje als de processen niet goed zijn ingericht. Hoog tijd dus om een herhalingsoefening te doen om de security in je eigen organisatie te verbeteren.

1. Waarom investeren in security
?
security3De wens om de security van een organisatie te verbeteren komt veelal van vanuit het management. Vaak wordt het getriggerd door toezichthouders of door accountancy/security audit-rapporten, waarna het uiteindelijk op het bord van de IT-manager terecht komt. Die kan vervolgens in nieuwe technische oplossingen gaan investeren, zoals een nieuwe firewall of een Intrusion Prevention Systeem (IPS). Maar moet de oplossing altijd alleen uit de technische hoek komen? Cyber is niet alleen het speeltje van de IT-manager. Het is van belang dat de hele organisatie hierbij wordt betrokken. De reden is precies waarmee ik dit verhaal begon. Als bijvoorbeeld het functiehuis in het HR-systeem niet goed is gedefinieerd of de informatie over een veranderend rollenmodel niet met de juiste betrokkenen wordt gecommuniceerd, dan zijn nieuwe security-oplossingen waardeloos.

2. Doelstellingen bepalen met alle stakeholders 
Na het besluit om in security te investeren, is het van belang om alle stakeholders binnen een organisatie bij elkaar te roepen. Samen met hen analyseer je de risico’s en bepaal je de doelstellingen. Maar nog belangrijker: je zorgt ervoor dat ze er allemaal bij betrokken worden en hun persoonlijke commitment afgeven. Het resultaat is dat alle lagen van de organisatie op de hoogte zijn van de geplande vernieuwingen, van het management en de financiële afdeling tot HR en de werknemers. Bovendien kunnen zij precies aangeven waar volgens hen de risico’s liggen en welke informatie het zwaarst beschermd moet worden. Vanuit IT kan vervolgens ook uitgelegd worden welke gevolgen de vernieuwing mogelijk kan gaan hebben voor de operationele processen.

3. Advies en oplossingen selecteren
Over welke techniek en in hoeverre veranderingsmanagement noodzakelijk is, kan de organisatie natuurlijk het beste zelf beslissen. Maar dit is wel deels het keuren van eigen vlees.  Het lijkt me daarom ook evident dat externe consultancy hier duidelijk een toegevoegde waarde heeft. Een externe partij wordt immers in zijn oordeel niet geremd door ingesleten processen van de betreffende organisatie. Na de inventarisatie van de doelstellingen volgt een advies naar de organisatie voor een set aan technologische oplossingen en procedurele veranderingen. Op basis van het beschikbare budget kan vervolgens een keuze gemaakt worden. Aangezien de hele organisatie bij de eerdere fase betrokken was, loop je hier minder tegen discussies aan over de kosten of andere praktische bezwaren. Het advies is immers precies afgestemd op de doelstellingen en risico’s die eerder zijn gedefinieerd.

4. Gezamenlijke implementatie
Vervolgens breekt de implementatiefase aan. Ook hier is het van belang dat de organisatie zelf de regie heeft. Je spreekt niet van een uitbestede implementatie door een IT/security-dienstverlener, maar van een proces waar de klant zelf aan het roer staat en naar eigen inzicht ondersteuning vraagt van derden. Dit vereist dus enige volwassenheid van het projectteam van de organisatie. De externe partij monitort de voortgang, voert eenmalige technische activiteiten uit en daar waar zelfstandigheid van de organisatie gewenst is wordt kennis overgedragen. Ik noem dit dan ook het ‘enablen’ van de klant. Dat is het recept voor een succesvolle security-implementatie. Door het grotendeels zelf te doen en je goed voor te bereiden, blijft je niet achter met een paar gloednieuwe security-oplossingen en een dikke handleiding.

5. Service en continue kennisupdates
Vanzelfsprekend worden de meeste IT-oplossingen geleverd met een servicecontract. Dit zou in mijn optiek slechts een klein onderdeel van de service moeten zijn. Software-updates zouden immers niet al teveel menselijke interactie moeten vereisen. De mens heeft daarentegen wel regelmatige updates nodig. Hij moet namelijk op de hoogte blijven van nieuwe ontwikkelingen en hoe hij de geleverde techniek het beste kan gebruiken. Nog belangrijker is dat de organisatie bewust blijft van de weg die er tijdens de implementatie is ingeslagen, om zo hun securityproces te verbeteren. Verslappen van deze aandacht kan er toe leiden dat er een situatie ontstaat zoals die van de politiemol. Wij plannen daarom meerdere sessies per jaar bij klanten, om hier aandacht aan te besteden. Ook komt voor dat (IT-)medewerkers de organisatie verlaten. De kennis en ervaring die hiermee verloren gaat, met name voor het juist uitvoeren van de processen,  wordt meestal niet zomaar overgedragen aan hun opvolgers. Dit soort sessies zorgen ervoor dat ook kennisoverdracht over security ingebakken is in de processen van de organisatie.

 

 

Boele ter Wisch

Boele ter Wisch

Boele Ter Wisch is Sales Manager bij Intragen. Met meer dan twintig jaar ervaring als IT- en bedrijfskundig consultant, functioneert hij als sparringpartner van organisaties om hun ICT naar een hoger niveau te brengen. Het optimaliseren van de bedrijfsprocessen en ICT daarbij zo efficiënt mogelijk inzetten is het doel. De uitdaging die Boele heeft bij Intragen is een gewenst ICT-veiligheidsniveau te bereiken in alle delen van klantorganisaties door gebruik te maken van een integrale IDM/AM-oplossing. Aandacht voor de processen is hierbij van evenzo groot belang als de juiste tooling. Daarnaast is hij medeoprichter van een lokaal initiatief voor onderwijs van hoogbegaafde kinderen.

Laatste Artikels:

 

Tags: Security