Veel van je inspanningen doen er niet toe!
Jullie hebben grootschalig Microsoft als jullie heilige graal aanvaard. Stel maar gerust dat jullie een Microsoft-huis zijn. Als er een vraagstuk vanuit de business bij ICT wordt neergelegd, worden de gecertificeerde programmeurs weer van stal gehaald.
Net als bij Microsoft zelf is security een integraal onderdeel van het ontwerp- & ontwikkeltraject. Je hebt het goed aangepakt. De kwetsbaarheden zijn tot een minimum gereduceerd. Het reguliere beheer, waar vulnerability & patch management onderdeel van zijn, pakt eventuele flaws automatisch op.
Jouw werk is goed uitgevoerd.
Sterker nog, je pakt als Microsoft-huis ook alle security oplossingen van de Bill Gates company erbij. Zo ook Windows Defender.
De veel bediscussieerde testmethode van antiviruslab AV-test heeft aangetoond dat Microsoft-oplossing relatief veel malware doorlaat. Ze discussiëren intensief over de realiteit die de test nabootst. Maar daar heb jij niets aan als die virusuitbraak toch realiteit is geworden.
Het gaat me er niet om dat Microsoft hierbij een steek laat vallen. Laat dat duidelijk zijn.
Het gaat me veel meer om jouw eigen inschatting dat een standaard antivirus-pakket voldoende zou moeten zijn voor de risicovolle situatie waarin jouw organisatie zich begeeft.
Antivirus is niet meer dan een tick-in-the-box. Je moet het hebben, maar het is niet toereikend!
Mijn advies is dan ook: Bel met je securitypartner en vraag naar aanvullende securityoplossingen die het gat kunnen dichten. En bij securitypartner bedoel ik niet je standaard IT-leverancier. IT-security doe je er niet even bij! Daar heb je dedicated securitypartijen voor!
Maak jouw security-inspanningen niet nutteloos. Jij zorgt er voor dat applicaties niet lek zijn als een mandje. Zorg dan ook nog even voor een goede set securitymaatregelen en securityoplossingen rondom die applicatie!
Succes met de eerstvolgende virusuitbraak!
Informatiebeveiliging, maar dan op een andere manier! De olifant is door blinde wijzen uit Indië beschreven als een 'touw', een 'boom', een 'slang', ... Echter, ze hadden ieder maar een deel van de olifant aangeraakt. Jouw eigen waarheid betreft vaak maar een deel van de totale waarheid. En dat is in mijn ogen met security ook het geval!
dinsdag 9 april 2013
zondag 7 april 2013
Security budget excl. BTW
Een
maand zonder saldo!
‘In
navolging van het plan van de PVV, een maand zonder BTW, bereidt de ING zich
voor op de maand zonder saldo’ (Pieter Derks, DWDD).
Als
securityprofessional kijk je tegenwoordig niet zo snel op van dienstverlening
die op z’n gat ligt. Geenstijl gaf aan dat de cyberjihad de pijlen op de bank
gericht had. ING
zelf gaf aan dat het afgelopen woensdag lag aan de foutieve verwerking van éénbestand.
Gewoon de foutieve verwerking van een bestand. Niets cybercrime, gewoon een fout in
de verwerking. Integriteitsissue? Toch wel weer een beetje security?
Treurig
was dat de bank geen goed communicatieplan heeft toegepast om de storm van
beschuldigingen op de sociale media in te dammen. Ik heb het idee dat na ‘de run op gratis geld in 2010’ er toch lessen geleerd waren.
Dan
is het vreemd dat deze week die geleerde lessen niet van stal gehaald werden. Wellicht
zijn de hersenpannen, die deze geleerde lessen bevatten, intussen weggesaneerd.
Later
deze week heeft de bank beter gecommuniceerd. Toen betrof het een massale
DDOS-aanval.
Het is zorgwekkend als blijkt dat banken, die onderdeel zijn van de kritieke infrastructuur in Nederland, specifiek doelwit worden. Anderzijds is het zorgwekkend dat diezelfde banken het toch steeds weer moeilijk vinden om de juiste maatregelen te nemen en uit te voeren.
Het is zorgwekkend als blijkt dat banken, die onderdeel zijn van de kritieke infrastructuur in Nederland, specifiek doelwit worden. Anderzijds is het zorgwekkend dat diezelfde banken het toch steeds weer moeilijk vinden om de juiste maatregelen te nemen en uit te voeren.
Maar
hier geen uitgebreid verhaal hoe slecht de Nederlandse kritieke infrastructuren
zijn voorbereid op wat Geenstijl de ‘Cyberjihad’ noemt.
Veel
meer ben ik geïnteresseerd in jouw voorbereidingen op het volgende
securityincident.
Bij
al die organisaties waar ik kom heeft de jaarlijkse audit aan het licht
gebracht welke risico’s gelopen worden. De organisaties zijn op grote
schaal niet in staat om zelf een deugdelijk risicomanagement proces in elkaar
te schroeven en uit te rollen. Dat moet de externe auditor weer voor ze doen (of
een incidentje brengt de directie wel weer op de hoogte van de noodzaak).
Directeuren
en Groot Aandeelhouders maken zich sterk zorgen over afnemende marges,
teruglopende omzet, sterkere concurrentie, late betalingen, hoge loonkosten,
klanten die afscheid nemen, etc. Ze zijn zich erg bewust van risico’s die de
organisatie loopt. De mindset om risico’s te managen is in mijn ogen bij
directies sterk aanwezig.
Hoe komt het dan dat risico’s zoals cybercrime en bijbehorende securityissues niet tussen de oren te krijgen zijn van de beslissers?
Hoe komt het dan dat risico’s zoals cybercrime en bijbehorende securityissues niet tussen de oren te krijgen zijn van de beslissers?
Gek
is dat er een toenemend aantal security officers/managers te vinden is in
organisaties. Veel van die security officers die ik spreek komen met hetzelfde
verhaal: ‘ze willen niet luisteren’. Ook al fikt de buitenwereld af, het lukt
niet om security serieus onder de aandacht te brengen.
Is
dit een op zichzelf staand probleem? Of zijn er vergelijkbare problemen?
Voor
mezelf heb ik de vergelijking wel eens gemaakt met ‘kwaliteit’. Security is
toch ook een kwaliteitsaspect van bedrijfsvoering? Bestaan daar dan geen
parallellen? Hoe is kwaliteit op basis van ISO 9001 dan wel ingevoerd? De
vergelijking loopt uiteindelijk mank in mijn ogen. ISO 9001 certificering werd
een onderscheidend vermogen ten opzichte van de concurrentie. En dat wordt in
directiekamers erg goed begrepen. Hoe je security buigt, wendt of keert, het
wordt geen concurrentievoordeel.
Bang maken laat ik maar over aan de commercianten van WC-Eend. Ik denk dat je angst moet wegnemen. Meten is weten. Dan kom ik terecht bij het goede boek van Andrew Jaquith ‘Security Metrics: Replacing Fear, Uncertainty, and Doubt’ Vooral het hoofdstuk over de Security Balanced Score Card geeft goede handvatten om security serieus te koppelen aan bedrijfsdoelstellingen.
Maar
door te meten krijg je de juiste ingrediënten voor een fundamentele discussie
over security met de directie. Die discussie is noodzakelijk, maar in mijn ogen
moet je security breder aanpakken.
Als
kritieke dienstverlening zo makkelijk onder druk komt te staan door
DDOS-aanvallen en de foutieve verwerking van één bestand. Dan kun je niet anders concluderen dat die werkelijkheid ook sneller op jouw organisatie afkomt. In
dat licht bekeken zie ik de noodzaak om te komen tot een goede strategie om de
risico’s van cybercrime tegen te gaan. Naast de afnemende marges, de
teruglopende omzetten, de steeds hoger wordende kosten en de afscheidnemende klanten
bestaat het reële risico dat de organisatie bloot komt te staan aan serieuze securityincidenten.
De
vraag is hoe je dit tussen de oren van de directie, de managers en uiteindelijk
de werknemers krijgt?
Bij een grote financiële dienstverlener kreeg ik eens de vraag hoe de directie duidelijk was te maken dat ‘APT’s’ echt een risico van betekenis waren? Vanuit de bezorgdheid van een firewallbeheerder of IT-Security Officer kan ik me die vraag voorstellen. Alleen je moet wel de directie op hun eigen behoeften gaan aanspreken. Jargon is natuurlijk een valkuil. Je moet ook financieel je mannetje staan en goed begrijpen welke issues er spelen rondom processen als sales & marketing, logistiek, finance, HR, inkoop, …
Maar
dat zijn allemaal ingrediënten voor de dialoog. Het gaat me veel meer om de mechanismen,
zoals dialoog, die nodig zijn om een beweging in gang te zetten. Hoe breng je
een goed verhaal tot leven? Daar is volgens mij meer voor nodig dan de juiste
ingrediënten voor de dialoog. Alleen dialoog is trouwens ook niet voldoende.
Ik
wil je graag wijzen op de veranderaanpak van John Kotter. Hij heeft een aanpak,
gebaseerd op 8 stappen, ontwikkeld die intussen wereldwijd veel wordt toegepast.
De acht stappen zijn de volgende:
Bereid de weg voor
- Creëer een gevoel van urgentie - Help anderen inzien waarom verandering noodzakelijk is en waarom het belangrijk is om meteen te handelen.
- Verzamel een leidend team - Zorg dat er een sterke groep is die de verandering stuurt – met leiderschapsvaardigheden, geloofwaardigheid, communicatieve vaardigheden, autoriteit, analytische vaardigheden en urgentiebesef.
- Ontwikkel een visie en strategie voor de verandering - Maak duidelijk hoe de toekomst verschilt van het verleden en hoe die toekomst kan worden gerealiseerd. Zorg dat het gebeurt.
- Communiceer om draagvlak en betrokkenheid te creëren - Zorg dat zo veel mogelijk anderen de visie en strategie begrijpen en accepteren.
- Maak het anderen mogelijk om te handelen Neem zo veel mogelijk obstakels weg, zodat degenen die de visie willen realiseren, dit ook kunnen doen.
- Genereer kortetermijnsuccessen - Creëer zo snel mogelijk een aantal zichtbare, overtuigende successen.
- Houd het tempo hoog - Voer de druk en het tempo op na de eerste successen. Blijf veranderingen doorvoeren totdat de visie is gerealiseerd.
- Creëer een nieuwe cultuur - Houd vast aan de nieuwe benaderingen en zorg dat deze resultaten opleveren, totdat ze sterk genoeg zijn om oude tradities te vervangen.
Een echte aanrader om de aanpak te zien werken is het boekje ‘Onze ijsberg smelt’ van John Kotter. Een pinguïnkolonie krijgt op een dag door dat hun ijsberg smelt. De noodzaak tot veranderen wordt niet door allemaal gezien. Sommigen willen wel planmatig hun voorbereidingen treffen. Voorstanders, tegenstanders en zwevende kiezers zijn allemaal herkenbaar. Uiteindelijk lukt het om vanuit een heldere visie een leidende coalitie te vormen en de verandering in gang te zetten. Je zult vele rollen in het boekje kunnen herkennen in jouw organisatie.
Security
is een organisatiebreed probleem. De realiteit voor veel organisaties met
betrekking tot security lijkt erg op die smeltende ijsberg. Ja, realiseer de
juiste ingrediënten voor de dialoog. Maar besef dat er meer nodig is dan de
juiste taal en de juiste feiten. Er zijn mechanismen nodig om taal en feiten
beter tot hun recht te laten komen. De aanpak volgens Kotter kan hierbij wel
eens een goede vliegwielwerking hebben.
Ga jij de komende tijd je
organisatie in de securitysteigers zetten, doe het dan in juni, Dat houdt de
kosten lekker laag. Geen BTW in ieder geval, als het aan de PVV ligt (Pieter
Derks, DWDD)
Abonneren op:
Posts (Atom)