Een
maand zonder saldo!
‘In
navolging van het plan van de PVV, een maand zonder BTW, bereidt de ING zich
voor op de maand zonder saldo’ (Pieter Derks, DWDD).
Als
securityprofessional kijk je tegenwoordig niet zo snel op van dienstverlening
die op z’n gat ligt. Geenstijl gaf aan dat de cyberjihad de pijlen op de bank
gericht had. ING
zelf gaf aan dat het afgelopen woensdag lag aan de foutieve verwerking van éénbestand.
Gewoon de foutieve verwerking van een bestand. Niets cybercrime, gewoon een fout in
de verwerking. Integriteitsissue? Toch wel weer een beetje security?
Treurig
was dat de bank geen goed communicatieplan heeft toegepast om de storm van
beschuldigingen op de sociale media in te dammen. Ik heb het idee dat na ‘de run op gratis geld in 2010’ er toch lessen geleerd waren.
Dan
is het vreemd dat deze week die geleerde lessen niet van stal gehaald werden. Wellicht
zijn de hersenpannen, die deze geleerde lessen bevatten, intussen weggesaneerd.
Later
deze week heeft de bank beter gecommuniceerd. Toen betrof het een massale
DDOS-aanval.
Het
is zorgwekkend als blijkt dat banken, die onderdeel zijn van de kritieke infrastructuur
in Nederland, specifiek doelwit worden. Anderzijds is het zorgwekkend dat
diezelfde banken het toch steeds weer moeilijk vinden om de juiste maatregelen
te nemen en uit te voeren.
Maar
hier geen uitgebreid verhaal hoe slecht de Nederlandse kritieke infrastructuren
zijn voorbereid op wat Geenstijl de ‘Cyberjihad’ noemt.
Veel
meer ben ik geïnteresseerd in jouw voorbereidingen op het volgende
securityincident.
Bij
al die organisaties waar ik kom heeft de jaarlijkse audit aan het licht
gebracht welke risico’s gelopen worden. De organisaties zijn op grote
schaal niet in staat om zelf een deugdelijk risicomanagement proces in elkaar
te schroeven en uit te rollen. Dat moet de externe auditor weer voor ze doen (of
een incidentje brengt de directie wel weer op de hoogte van de noodzaak).
Directeuren
en Groot Aandeelhouders maken zich sterk zorgen over afnemende marges,
teruglopende omzet, sterkere concurrentie, late betalingen, hoge loonkosten,
klanten die afscheid nemen, etc. Ze zijn zich erg bewust van risico’s die de
organisatie loopt. De mindset om risico’s te managen is in mijn ogen bij
directies sterk aanwezig.
Hoe
komt het dan dat risico’s zoals cybercrime en bijbehorende securityissues niet
tussen de oren te krijgen zijn van de beslissers?
Gek
is dat er een toenemend aantal security officers/managers te vinden is in
organisaties. Veel van die security officers die ik spreek komen met hetzelfde
verhaal: ‘ze willen niet luisteren’. Ook al fikt de buitenwereld af, het lukt
niet om security serieus onder de aandacht te brengen.
Is
dit een op zichzelf staand probleem? Of zijn er vergelijkbare problemen?
Voor
mezelf heb ik de vergelijking wel eens gemaakt met ‘kwaliteit’. Security is
toch ook een kwaliteitsaspect van bedrijfsvoering? Bestaan daar dan geen
parallellen? Hoe is kwaliteit op basis van ISO 9001 dan wel ingevoerd? De
vergelijking loopt uiteindelijk mank in mijn ogen. ISO 9001 certificering werd
een onderscheidend vermogen ten opzichte van de concurrentie. En dat wordt in
directiekamers erg goed begrepen. Hoe je security buigt, wendt of keert, het
wordt geen concurrentievoordeel.
Bang
maken laat ik maar over aan de commercianten van WC-Eend. Ik denk dat je angst
moet wegnemen. Meten is weten. Dan kom ik terecht bij het goede boek van Andrew
Jaquith ‘Security Metrics: Replacing Fear, Uncertainty, and Doubt’ Vooral het hoofdstuk over de Security Balanced Score Card geeft goede
handvatten om security serieus te koppelen aan bedrijfsdoelstellingen.
Maar
door te meten krijg je de juiste ingrediënten voor een fundamentele discussie
over security met de directie. Die discussie is noodzakelijk, maar in mijn ogen
moet je security breder aanpakken.
Als
kritieke dienstverlening zo makkelijk onder druk komt te staan door
DDOS-aanvallen en de foutieve verwerking van één bestand. Dan kun je niet anders concluderen dat die werkelijkheid ook sneller op jouw organisatie afkomt. In
dat licht bekeken zie ik de noodzaak om te komen tot een goede strategie om de
risico’s van cybercrime tegen te gaan. Naast de afnemende marges, de
teruglopende omzetten, de steeds hoger wordende kosten en de afscheidnemende klanten
bestaat het reële risico dat de organisatie bloot komt te staan aan serieuze securityincidenten.
De
vraag is hoe je dit tussen de oren van de directie, de managers en uiteindelijk
de werknemers krijgt?
Bij
een grote financiële dienstverlener kreeg ik eens de vraag hoe de directie
duidelijk was te maken dat ‘APT’s’ echt een risico van betekenis waren? Vanuit
de bezorgdheid van een firewallbeheerder of IT-Security Officer kan ik me die
vraag voorstellen. Alleen je moet wel de directie op hun eigen behoeften gaan
aanspreken. Jargon is natuurlijk een valkuil. Je moet ook financieel
je mannetje staan en goed begrijpen welke issues er spelen rondom processen als
sales & marketing, logistiek, finance, HR, inkoop, …
Maar
dat zijn allemaal ingrediënten voor de dialoog. Het gaat me veel meer om de mechanismen,
zoals dialoog, die nodig zijn om een beweging in gang te zetten. Hoe breng je
een goed verhaal tot leven? Daar is volgens mij meer voor nodig dan de juiste
ingrediënten voor de dialoog. Alleen dialoog is trouwens ook niet voldoende.
Ik
wil je graag wijzen op de veranderaanpak van John Kotter. Hij heeft een aanpak,
gebaseerd op 8 stappen, ontwikkeld die intussen wereldwijd veel wordt toegepast.
De acht stappen zijn de volgende:
Bereid de weg voor
- Creëer
een gevoel van urgentie - Help
anderen inzien waarom verandering noodzakelijk is en waarom het belangrijk is
om meteen te handelen.
- Verzamel
een leidend team - Zorg
dat er een sterke groep is die de verandering stuurt – met leiderschapsvaardigheden,
geloofwaardigheid, communicatieve vaardigheden, autoriteit, analytische
vaardigheden en urgentiebesef.
Maak een plan van aanpak
- Ontwikkel
een visie en strategie voor de verandering - Maak
duidelijk hoe de toekomst verschilt van het verleden en hoe die toekomst kan worden
gerealiseerd. Zorg
dat het gebeurt.
- Communiceer
om draagvlak en betrokkenheid te creëren - Zorg
dat zo veel mogelijk anderen de visie en strategie begrijpen en accepteren.
- Maak
het anderen mogelijk om te handelen Neem
zo veel mogelijk obstakels weg, zodat degenen die de visie willen realiseren,
dit ook kunnen doen.
- Genereer
kortetermijnsuccessen - Creëer
zo snel mogelijk een aantal zichtbare, overtuigende successen.
- Houd
het tempo hoog - Voer
de druk en het tempo op na de eerste successen. Blijf veranderingen doorvoeren
totdat de visie is gerealiseerd.
Bestendig de nieuwe situatie
- Creëer
een nieuwe cultuur - Houd
vast aan de nieuwe benaderingen en zorg dat deze resultaten opleveren, totdat
ze sterk genoeg zijn om oude tradities te vervangen.
Een
echte aanrader om de aanpak te zien werken is het boekje ‘Onze ijsberg smelt’
van John Kotter. Een pinguïnkolonie krijgt op een dag door dat hun ijsberg
smelt. De noodzaak tot veranderen wordt niet door allemaal gezien. Sommigen willen wel
planmatig hun voorbereidingen treffen. Voorstanders, tegenstanders en zwevende
kiezers zijn allemaal herkenbaar. Uiteindelijk lukt het om vanuit een heldere
visie een leidende coalitie te vormen en de verandering in gang te zetten. Je
zult vele rollen in het boekje kunnen herkennen in jouw organisatie.
Security
is een organisatiebreed probleem. De realiteit voor veel organisaties met
betrekking tot security lijkt erg op die smeltende ijsberg. Ja, realiseer de
juiste ingrediënten voor de dialoog. Maar besef dat er meer nodig is dan de
juiste taal en de juiste feiten. Er zijn mechanismen nodig om taal en feiten
beter tot hun recht te laten komen. De aanpak volgens Kotter kan hierbij wel
eens een goede vliegwielwerking hebben.
Ga jij de komende tijd je
organisatie in de securitysteigers zetten, doe het dan in juni, Dat houdt de
kosten lekker laag. Geen BTW in ieder geval, als het aan de PVV ligt (Pieter
Derks, DWDD)
