10 Mythes rond IT-beveiliging

Misvattingen en overdrijvingen tieren welig als het om beveiliging van informatie gaat.

Dat beweert Jay Heiser, vooraanstaand analist bij Gartner. Heiser destilleerde uit alle misvattingen en halve waarheden tien mythes die een belangrijke rol spelen in de discussie rond security van IT. Dagdromen en verantwoordelijkheden doorspelen is wat er vooral gebeurd.

1. Het gebeurt mij niet


Oorzaak: de hype over de risico’s zorgt voor gewenning, mensen geloven het wel. Daarnaast laten organisatie de werknemers te vrij in hun doen en laten onder het mom van kostenbesparingen.
Oplossing: Pak de verantwoordelijkheid rond security thema’s stevig beet. Een duidelijk (geclassificeerd) raamwerk kan daarbij helpen.

2. 10% van het IT-budget gaat op aan security


Oorzaak:
de wens is de vader van de gedachte. Uit onderzoek blijkt dat het percentage eerder rond de 5% ligt.
Oplossing: het bewijs ligt in de cijfers. Uit de boekhouding zal blijken dat ook het percentage bij jouw gemeente ver onder de 10% ligt.

3. Security-risico’s kunnen worden gekwantificeerd

Oorzaak:
Government by Excel. De illusie dat het hebben van veel data er voor zorgt dat je de problemen kan beheersen
Oplossing: IT-ers moeten duidelijker voor ogen hebben wat wel en wat niet kan worden gekwantificeerd. Omschrijf de risico’s op een niet cijfermatige wijze en zorg ervoor dat binnen alle geledingen van de organisatie eigenaarschap ontstaat over relevante IT-risico’s.

4. Wij hebben fysieke beveiliging, dus onze gegevens zijn veilig

Oorzaak:
Weer een geval van dat de wens de vader van de gedachte is. Risico’s worden nauwelijks begrepen.
Oplossing: Verschillende data vereisen een verschillend niveau van beveiliging. Houdt dat in de gaten bij de aanschaf van beveiliging.

5. Tijdelijke en complexe wachtwoorden verlagen het risico

Oorzaak:
Laksheid veroorzaakt een vals gevoel voor veiligheid. Heiser: “Passwords are not cracked, they’re sniffed”
Oplossing: die is voor wachtwoorden niet. Wel kan je medewerkers opvoeden, zodat zij ‘meer intelligente’ wachtwoorden gebruiken.

6. Goede beveiliging is verzekerd als de verantwoordelijkheid buiten IT ligt

Oorzaak:
Een oud adagium dat problemen bijna vanzelf oplossen door ze herschikken of reorganisaties. Problemen worden doorgeschoven.
Oplossing: Benoem en analyseer de kern van de zwakheden in het systeem van beveiliging.

7. Het beleid rond security is het probleem van de CIO


Oorzaak: Doorgeven van hete aardappels. Alle druk ligt op de schouders van de CIO, maar ondertussen wil niemand dat hij verteld hoe anderen hun werk moeten doen.
Oplossing: Maak security onderdeel van de bedrijfscultuur.

8. Koop je uit de problemen met de aanschaf een bepaalde tool


Oorzaak:
De externe zoektocht naar toveroplossingen voor complexe problemen. Wishful thinking
Oplossing: Grondige risico-analyse en stel heldere prioriteiten. Stel een meer jaren beveiligingsplan op.

9. Implementeer beleid, en klaar


Oorzaak:
dagdromerij
Oplossing: Maak het management verantwoordelijk en ‘pick your battles’

10. Encryptie is de beste beveiliging voor gevoelige data


Oorzaak:
de zoektocht naar de Heilige graal. Encryptie kan heel goed werken maar richt meestal meer schade aan. De verwachtingen zijn naïef hoog van deze complexe technologie. Wordt te vaak ook toegepast voor eenvoudig te beheersen problemen.
Oplossing: Expertise. Voordat je grote beslissingen neemt, wees er zeker van dat je ruime ervaring en kennis met cryptografie in huis hebt.