Het mooie aan het werk van een informatiebeveiligingsconsultant is het bedienen van een grote diversiteit aan organisaties en het contact met medewerkers uit verschillende lagen van de organisatie. Het is opmerkelijk en verontrustend hoe vaak nog wordt gedacht dat informatiebeveiliging de verantwoordelijkheid is van de it-afdeling. De perceptie dat informatiebeveiliging gelijk staat aan techniek en dus de verantwoordelijkheid is van IT, is buitengewoon hardnekkig. Risico’s die gepaard gaan met de digitale veiligheid (cybersecurity) zijn groot in omvang en aantal. Wat komt er bij informatiebeveiliging kijken, en wat kunt u als ict-manager eraan bijdragen om informatiebeveiliging op een hoger niveau te brengen?
Testvarianten
De matrix in afbeelding 1 laat in hoofdlijnen zien welke varianten er zijn op het gebied van technische beveiligingsonderzoeken.
De meest tot de verbeelding sprekende vorm is de ‘penetratietest’. Een penetratietest houdt in dat aanwezige kwetsbaarheden worden misbruikt om zodoende vertrouwelijke informatie te verkrijgen. Vest weet als geen ander dat deze vorm van testen in de praktijk nogal wat impact heeft. Volwassen organisaties waarbij informatiebeveiliging een kritieke factor speelt, zullen zonder aarzelen een penetratietest laten uitvoeren. De kwetsbaarhedenscan is de meest basale vorm van testen. Er wordt grotendeels op geautomatiseerde wijze onderzoek gedaan naar de aanwezigheid van bekende kwetsbaarheden. Tussen de diepgang van de penetratietest en de oppervlakkige breedte van de kwetsbaarhedenscan, kan de securitytest worden gepositioneerd. Het uitvoeren van een technische beveiligingstest is per definitie een momentopname. Dagelijks worden nieuwe kwetsbaarheden bekend en komen er nieuwe risico’s bij die invloed kunnen hebben op het risicoprofiel van uw organisatie. Streef naar een balans tussen de kosten van een beveiligingstest en het risico dat u wilt afdekken.
Zwakste schakel
U kunt met man en macht organisatorische en technische maatregelen implementeren, maar dat werkt alleen wanneer uw medewerkers weten op welke wijze zij geacht worden hiermee om te gaan. Het bewustzijn van medewerkers in dezen is mogelijk nog belangrijker dan alle organisatorische en technische maatregelen bij elkaar. Denk bijvoorbeeld aan het Nieuwe Werken, waarbij uw medewerkers altijd en overal kunnen inloggen op het bedrijfsnetwerk en informatie kunnen delen. Zonder twijfel gemakkelijk voor uw medewerkers, maar zijn ze zich ook bewust van geïnteresseerde medereizigers in de trein, in het vliegtuig, in wachtruimtes enzovoort? Zijn ze dat niet, dan vormen ze de zwakste schakel in uw beveiliging. Techniek maakt het gebruik van mobiele apparaten tot een prettige ervaring, maar vormt tegelijkertijd met de huidige resolutie en omvang van de schermen een risico voor ‘shoulder surfing’.
Zes blinde mannen
Informatiebeveiliging staat niet op zichzelf, maar is een organisatiebrede aangelegenheid. De afbeelding aan het begin van dit artikel representeert een eeuwenoud (Indisch) verhaal over zes blinde mannen en een olifant. Elk van de blinde mannen stond voor een ander deel van de olifant en nam door te voelen een ander object waar. Omdat niet één van hen het geheel kon ‘overzien’, konden ze niet weten dat ze met een olifant te maken hadden. Op basis van de individuele waarneming vormde ieder zijn eigen waarheid. Het grote geheel ontbrak. Deze metafoor geldt ook voor informatiebeveiliging. Wanneer het grote geheel kan worden overzien, kan een gepaste balans tussen organisatorische, technische en menselijke aspecten worden gevonden.