Echte profetieën.
Ongemerkt
heb ik gisterenavond mijn kinderen een extra aai over hun bol gegeven toen ik
ze naar bed bracht. In mijn achterhoofd speelde onbewust de Maya-voorspelling
mee. Ik hoor ze deze morgen trouwens boven al op hun kamer rondlopen. Mijn
ongerustheid was dus onterecht.
Ik weet niet
hoe we hier op gaan terugkijken in de komende tijd. Wordt het een dag zoals
iedere andere dag? Of komt 21 december 2012 in de geschiedenisboeken naast 2
juli 1600 te staan? Herinner je je die memorabele dag trouwens nog? Iets met Nieuwpoort …? Feit
blijft dat mensen er serieus aandacht hebben besteed. Er zijn ook mensen die
zich opgesloten in Bugarach
in de Pyreneën.
Voor mij is
het de vraag of we ons iets moeten gaan aantrekken van de voorspellingen die
onze mailbox binnenstromen. Ikzelf hecht er echt heel veel waarde aan. Ze zijn
een trapleuning voor de security investeringen van volgend jaar! Daarom wil ik
je als security professional graag een aantal profetische waarschuwingen voor
2013 meegeven.
- Cloud – let op voor een toenemend aantal kwetsbaarheden!
- BYOD/Mobile malware – al die smartphones en tablets blijven lastig om te managen.
- Targeted attacks/Social engineering – er zijn mensen die malware op je systeem willen injecteren via slimme doelbewuste aanvallen.
- DDoS attacks – ook jij bent een potentieel doelwit!
- Big data – enorm veel kwetsbaarheden.
- Cyber espionage – Veelal kijkt er een buitenlandse overheidsmedewerker over je schouder mee.
- Advanced Persistent Threats – er worden steeds geavanceerdere aanvalsmthoden ontwikkeld en toegepast.
- Mac malware – ook jouw Apple is doelwit.
- Hacktivism – het is een echte bedreiging!
Deze
voorspellingen had je ook zelf kunnen bedenken. Ik heb die moeite niet genomen.
Getuige de bovenstaande lijst. Ere wie ere toekomt. Dit lijstje heb ik van
Constantine von Hoffman, blogger bij CIO.com.
- De waarde van de voorspellingen ligt vooral in de voorspelbaarheid.
- Die van vorig jaar in een ander jasje.Veel self fulfilling prophecies!
- De een nog verwarrender dan de andere!
De vraag is
welke leidraad jij nodig hebt voor de juiste security investeringen in 2013?
Een van de
meest voorkomende vergissingen die ik tegenkom bij organisaties is de discussie
om van 90% risicodekking tot 95% te komen. Dit gebeurt, terwijl met een kijkje
in het datacenter en een paar vervelende vraagjes al snel duidelijk wordt waar de
uitdaging echt ligt. Niet de overgang in de hoogste regionen van risicodekking.
Nee, gewoon risicodekking van 50% tot 75% is voor veel organisaties al een hele
kluif.
Pin me niet
vast op de getallen, val me ook niet aan op het gebruik van getallen. Feit is
dat de discussie op de verkeerde manier gevoerd wordt. En in veel gevallen over
de verkeerde onderwerpen. Ik heb in een voorgaand artikel al gesproken over Terug naar de basis. ‘ First things first’ zoals Steven Covey verder
uitgewerkt heeft in zijn boek ‘ Seven Habitsof Highly Effective People’.
Zijn
voorspellingen dan helemaal niets waard? Nee, dat zeg ik niet.
Ik wijs
alleen op de profetische waarde die je ook in je eigen gloeilamp had kunnen
ontdekken. Ik vraag je goed na te denken over de risico’s die je loopt bij
verwerken, opslaan en versturen van vertrouwelijke informatie.
Wil je een
overzicht van risico’s? OK, hier
vindt je een lijstje. Het is maar een
voorbeeld. De kracht ligt in het risico assessment van je belangrijkste
processen. Discussie, nieuwe inzichten, met elkaar eens worden, besluiten, …
Allemaal belangrijke elementen van een goede voedingsbodem voor
investeringsbesluiten.
Even
recapituleren.
- We zijn op 22 december 2012 nog steeds op deze aardbol ons leventje aan het leiden.
- We waren even de slag bij Nieuwpoort vergeten.
- De meeste profetische voorspellingen kun je zelf bedenken.
- De uitdaging bij jou in de organisatie ligt niet in risicodekking op 95%.
- Op basis van ‘ First Things First’ zul je moeten bouwen aan fundamentele bouwstenen in je security infrastructuur.
- De meest voor de hand liggende methode voor waardevolle investeringen is het uitvoeren van risico assessments voor de belangrijkste processen.
Ga de
uitdaging aan om van de huidige risicodekking van om en nabij 50% te komen tot
een risicodekking die past bij jouw organisatie. Daar hoort niet een vast getal
bij. De key proceseigenaren bij jou in de organisatie beslissen zelf welk
risico ze acceptabel vinden.
Mocht je
moeite hebben om de juiste argumentatie te vinden val dan niet direct terug in
je vertrouwde oplossingsmethode ‘Wij van WC-eend’ . Heb je vragen waar je
niet uitkomt ga dan een serieus gesprek aan met je security partner. Dan bedoel
ik niet die ene die je net de nieuwste producteigenschappen heeft opgesomd.
Op naar de kalkoen en de schoonfamilie!
Fijne feestdagen. Ik zie je bij IKEA.