Vorige week was McAfee gastheer voor de Executive People Round Table. Initiatiefnemer en organisator Danny Frietman ontving een groep CIO’s van grote Nederlandse ondernemingen die discussieerden over de strategische plaats die security zou moeten innemen in de boardroom. Hoofdspreker was Brian Kenyon, CTO Security Connected bij McAfee, en mede-auteur van Security Battleground, an executive field manual.
“Succesvolle organisaties hebben een strategisch plan met betrekking tot security. Niet een gap analysis, wat je vaak ziet, en ook niet een exclusieve focus op technologie”, zegt Brian Kenyon. Want in praktijk is het de werkwijze van mensen die de grootste bedreiging vormt voor security. Veel organisaties zijn echter zo onzeker dat ze alle mogelijke veiligheidstechnologie implementeren, zonder de werkwijze van de medewerkers daarbij onder de loep te nemen. Het resultaat is dan uiteindelijk vaak dat de risico’s alleen maar groter en onbeheersbaar zijn geworden.
Het Executive Field Manual probeert daar verandering in te brengen, door CIO’s een duidelijke roadmap te bieden voor een strategische invoering van effectieve beveiliging. De eerste stap is het aangaan van de discussie met strategisch verantwoordelijke executives over de vraag wat daadwerkelijk beschermd zou moeten worden. “Dat lijkt logisch, maar in praktijk gebeurt dat heel weinig”, aldus Kenyon. “Want door een tekort aan mensen en middelen maken veel IT-afdelingen geen keuzes en proberen ze gewoon alles te beschermen.”
Strategische vragen
De aanwezige CIO’s konden zich goed in deze visie vinden. Nadat de basis van de security geregeld is komt de fase waarin keuzes gemaakt moeten worden, wat is er zo belangrijk dat het extra goed beschermd moet worden? Dat zijn strategische vragen die door de business moeten worden beantwoord, samen met de CIO. “Het is altijd lastig om met het management over security te praten. Het kost geld, ze begrijpen het niet, en alles loopt toch wel. Maar toch is het belangrijk om met ze in gesprek te gaan.”
Kenyon pleit voor duidelijkheid in de security-strategie. “Iedere security-maatregel zou gekoppeld moeten zijn aan de bescherming van een bepaald deel van de business. In praktijk ontstaat echter vaak een wildgroei aan security-rules waarvan niemand meer weet waarom ze zijn ingevoerd en wat ze zouden moeten beschermen. Dat kun je ook breder trekken, er zijn organisaties die software kopen voor een afdeling, die vervolgens verkopen, en de jaren daarna nog steeds blijven betalen voor de software omdat ze het overzicht missen.”
Eindelijk in de boardroom
John Hermans, partner bij KPMG, ging vervolgens in op de plaats die informatiesecurity volgens hem eindelijk heeft gekregen in de boardroom. “Security is uiteindelijk een onderdeel van risk management. Waar het om gaat bij informatie risicomanagement is de vraag ‘waar ben je nu echt bang voor?’ Script kiddies die poorten scannen? Anonymous? Georganiseerde misdaad? Cybercrime door staten? De eerste categorie is niet meer dan vandalisme, ze zorgen ervoor dat je bedrijf voor gek staat. Maar de laatste twee zijn echt gevaarlijk, daar zit veel geld achter.”
Ook hier kan de veelgebruikte case van Diginotar illustratief zijn. “Niemand had verwacht dat de Iraanse regering via een klein IT-bedrijf in Beverwijk zou proberen de eigen burgers in de gaten te houden. Belangrijk is dus om jezelf de vraag te stellen ‘welke rol speel ik in mijn ecosysteem. Kijk niet alleen naar je eigen organisatie.”
Dit neemt niet weg dat er ook binnen de eigen organisatie bedreigingen zijn. “De meeste incidenten vinden plaats omdat mensen slordig zijn. Mensen kunnen domme dingen doen, en dat heeft ook effect op de veiligheid.
Targets of choice
Een goede manier om in de boardroom duidelijk te maken wat het effect kan zijn van onvoldoende security is gamefication. “Dat is leuk. Het leidt tot FIAD,Fear, insecurity and doubt.” Zo kun je volgens hem in de board concreet maken wat er op het spel staat. Een belangrijke exercitie is om duidelijk te maken wat de kritieke informatie is die het doel zou kunnen zijn van cybercriminelen. “Wie gaat je aanvallen? Bij georganiseerde cybercrime gaat het niet meer alleen om targets of opportunity, zoals bij hackers, maar om targets of choice.” Dit vraagt om een gecoördineerde aanpak, waarbij IT en business strategisch moeten samenwerken om de steeds grotere dreiging het hoofd te bieden.
Executive People geeft twintig exemplaren van Security Battleground, An Executive Field Manual cadeau. De eerste twintig lezers die hun gegevens mailen naar rdekleijnen@executive-people.nl ontvangen gratis een exemplaar van dit boek.
