Waarom security niet iets voor techneuten is

Wanneer het over security gaat, wordt al snel aangenomen dat dit een technische aangelegenheid is. Op het moment dat vanuit de directie de vraag wordt gesteld hoe het ervoor staat met informatiebeveiliging wordt naar de technische dames en heren gekeken, ‘want die zullen daar wel mee bezig zijn’. En in de praktijk zijn techneuten vaak ook met security bezig: al is het maar omdat zij zich bovengemiddeld bewust zijn van wat er op technisch gebied mis kan gaan, en omdat ze dat willen voorkomen. Maar uiteindelijk draait security, of in goed Nederlands ‘informatiebeveiliging’, om het beschermen van alles dat samenhangt met informatie. En informatie is niet alleen voor techneuten belangrijk. De gehele organisatie heeft er belang bij en zou dus ook een rol moeten hebben in de bescherming ervan.

Verschillende disciplines benodigd

Je kunt een probleem dat multidisciplinair van aard is, niet vanuit één discipline oplossen. Je zult daar verschillende disciplines bij moeten betrekken. Daarnaast zijn ook verschillende lagen binnen de organisatie benodigd bij het aanpakken van informatiebeveiliging: zowel op strategisch niveau als op tactisch en operationeel niveau zijn er taken en verantwoordelijkheden rond informatiebeveiliging. Leg je die niet op de juiste plek neer of sla je er een paar over, dan heb je maar een halve aanpak. En in een auto nemen we toch ook geen genoegen met een halve airbag?

Om te voorkomen dat de organisatie stil komt te staan omdat informatie of informatiesystemen niet beschikbaar zijn, niet juist zijn of toegankelijk zijn voor onbevoegden, is allereerst de directie aan zet. Zij zal vanuit hun strategische blik moeten bepalen welke strategische doelstellingen de organisatie hanteert ten aanzien van informatie en alles dat daarmee samenhangt. Ook zal moeten worden besloten hoeveel risico de organisatie bereid is te nemen; typisch iets om op directieniveau te bepalen.

Om vervolgens te bepalen welke maatregelen moeten worden ingesteld om het gewenste niveau van bescherming te hanteren, is de business aan zet. Zij weten immers welke informatie en informatiesystemen écht nodig zijn om de business te kunnen laten draaien. Zij zijn dan ook de aangewezenen om inzichtelijk te maken welke eisen gesteld worden aan beschikbaarheid, integriteit, vertrouwelijkheid van de informatie waarvoor zij verantwoordelijk zijn. Concreet kun je hierbij denken aan de eisen die gelden om systemen weer in de lucht te krijgen als ze onverhoopt uitvallen (moet dat binnen 4 uur of is 2 dagen ook acceptabel), maar bijvoorbeeld ook aan het bepalen welke soorten gebruikers toegang mogen hebben en welke rechten zij krijgen.

Samenwerking is key

Uiteraard heb je de techneuten en functioneel beheerders nodig om ervoor te zorgen dat de juiste technische maatregelen worden doorgevoerd. Maar je kunt niet alles dat met security te maken heeft, ‘rucksichtslos’ over de schutting gooien bij de techneuten. Er zal een samenwerking tot stand moeten worden gebracht tussen business en IT om het niveau van beveiliging en het type maatregelen af te stemmen op dat wat nodig en wenselijk is voor de organisatie als geheel. Het management heeft de nobele taak om daarin richting te geven, in aansturing te voorzien en de randvoorwaarden te scheppen die nodig zijn om gezamenlijk de kroonjuwelen van de organisatie veilig te houden.

Om de aansturing en samenwerking soepel te laten verlopen kan een tussenschakel worden ingebouwd die deels als tolk en deels als bemiddelaar fungeert, bijvoorbeeld een security officer. Business, IT en management spreken immers niet altijd dezelfde taal en kunnen verschillend naar dezelfde materie kijken. Deze tussenschakel moet daarom iemand zijn die begrijpt hoe een bedrijf werkt, maar die ook de taal van techneuten spreekt en partijen bij elkaar kan brengen.

Terug naar overzicht