Ik werk in de informatiebeveiliging en mijn dagelijkse realiteit van werken voelt vaak als het met emmertjes opvangen van water dat door een lekkend dak sijpelt. Ik zou zo graag het dak (laten) repareren, maar … geen tijd, geen geld, geen kennis en geen mensen. En hadden we dat lek eigenlijk niet kunnen voorkomen?

Met emmertjes lopen doe ik al zolang ik in de informatiebeveiliging werk, maar het kan ook anders en het móét anders. Want zeg nou zelf: je hebt veel meer plezier van je huis, als je niet elke keer met die emmertjes aan de gang hoeft!

Het standaardpatroon#

Veel organisaties zien informatiebeveiliging als een noodzakelijk kwaad: een hoepel waar het project doorheen moet; een extra laagje of een checklist om een vinkje te halen. Die houding zorgt voor een minimale inspanning bij de start.

Pas als het misgaat door een datalek, ransomware of cyberaanval en reputatieschade dreigt, komt informatiebeveiliging serieus op de agenda. Dan zijn er tijd, budget, kennis en mensen beschikbaar om maatregelen te treffen. Dat is heel fijn als de organisatie ermee is geholpen, maar het is ook een beetje laat.

Dit reactieve gedrag, vergelijkbaar met het emmertjes plaatsen onder een lekkend dak, kost veel tijd en geld. En als je dat dak dan niet gaat repareren, kost het nóg meer tijd en geld. In een organisatie heeft “het lekkende dak” forse gevolgen voor de bedrijfsprocessen.

Wat als we het omdraaien en informatiebeveiliging onderdeel laten zijn van het ontwerp, inspectie en beheer?

Bij DiVetro vinden we dat deze 3 principes de kans op een lekkend dak kleiner maken:

1. Security by Design boven Patching after an incident#

In plaats van patchen nadat er een incident is geweest, patchen we vóórdat een incident kan ontstaan. Het staat bekend als Security by Design: denken aan beveiligingsrisico’s bij ontwerp, architectuur en ontwikkeling, niet pas bij de oplevering. Dit voorkomt dat informatiebeveiliging een obstakel wordt.

In de metafoor van het huis: het nadenken over aanpassingen aan het huis en de gevolgen voor constructie, vergunningen, onderhoud en controle, in de afweging tegenover comfort, waardestijging en besparingen. Misschien moet de meterkast niet alleen vervangen, maar ook uitgebreid worden voor het geval we ooit zonnepanelen willen plaatsen. Het dak moet dan natuurlijk ook in orde zijn, voordat die zonnepanelen erop geplaatst kunnen worden.

Als je de beveiliging in de basis al op orde hebt, kan het juist een versneller zijn voor het leveren van diensten en producten. Het draait om robuuste ontwerpen met de juiste bescherming van beschikbaarheid, integriteit en vertrouwelijkheid. Denk bijvoorbeeld aan het snel kunnen uitbreiden van de informatie-uitwisselingen met ketenpartners, omdat je de autorisatie en authenticatie structureel op orde hebt. Zo wordt informatiebeveiliging een claim to fame voor de organisatie.

2. Risico-gedreven boven compliance-gedreven#

Natuurlijk moeten we voldoen aan wet- en regelgeving. Maar compliance is een minimumniveau en zeker geen garantie voor veiligheid. Wie alleen de AVG, ISO of BIO afvinkt, mist de kans om echt waarde toe te voegen aan de bedrijfsprocessen, zoals het beschermen van de kroonjuwelen en grip en controle krijgen op leveranciers.

Het is beter om ook te kijken naar de risico’s en niet alleen naar regels. Dat geeft een heldere prioritering van mogelijk beveiligingslekken, waar de organisatie doelgericht aan kan werken. De belangrijkste dingen eerst. Daarmee wordt echte sturing op impact en prioriteit mogelijk en help je de organisatie met meer dan alleen het vinkje halen.

In de metafoor van het huis is er natuurlijk meer dan een dak: je kijkt naar aanpassingen die nodig zijn als de kans op het optreden van risico’s te groot dreigt te worden. Denk aan bewoners die ouder of minder mobiel worden, waarbij je maatregelen neemt om het risico op een valpartij te verlagen. Of het afdekken van een stopcontact in een gezin met jonge kinderen.

3. Begrip boven geconditioneerd gedrag#

Bij Divetro staan we voor het investeren in een cultuur van informatiebeveiliging, waarin veilig gedrag de norm is, niet de uitzondering. Geef mensen ruimte om te leren, fouten te maken en vragen te stellen. Niet iedereen hoeft een hacker te zijn, maar iedereen moet wel begrijpen welk gedrag of welke handelingen risicovol zijn.

Een actueel voorbeeld uit onze praktijk is het gebruik van ChatGPT, waarbij medewerkers goedbedoeld, maar onbewust vertrouwelijke informatie met de wereld deelden.

Bovenstaand idee gaat dus verder dan compliance-gedreven vinkjes zoals phishingtests of verplichte compliance modules. Het vergt een doordachte aanpak die past bij de cultuur van de organisatie, en die het hele jaar door op diverse manieren onder de aandacht van medewerkers blijft.

In de metafoor van het dak: Bij lekkage door regen zet je niet alleen een emmer neer, maar na de bui onderzoek je waar het lekt en je repareert dat voordat een volgende bui zich aankondigt.

Dus… wie gaat er voor zorgen dat de kans op een lekkend dak zo klein mogelijk is?#

Beveiliging van informatie is niet alleen IT. Er zit ook een fysieke component in, net als een gedragscomponent. Daarmee is het een strategisch vraagstuk dat vraagt om meedenken van directie, beleidsmakers, ontwikkelaars en gebruikers. Niet als reactie na een incident, maar als bewuste keuze aan de voorkant.

Hoe fijn zou het zijn als informatiebeveiliging ons niet telkens achtervolgt, maar ons vooruit helpt? Misschien is het tijd om te zorgen dat een lekkend dak, net als een incident op het gebied van informatiebeveiliging, ons niet overkomt, maar dat we dit voorkomen en kunnen vertrouwen op een veilig systeem.

Meer weten?#

In een volgend artikel geven we antwoord op de vraag hoe je dat dan doet.