Security of Threat, inzicht door een andere insteek

Looming_Threat-784103-255x300impact-intro24372794-padlock-web-icon

Veiligheid en bedreigingen beheersen het nieuws, zowel fysiek als digitaal. Gelukkig kom ik in mijn omgeving de fysieke variant slechts op afstand tegen. In de digitale wereld liggen bedreigingen overal en altijd op de loer. Vanuit zakelijk perspectief is dit vanzelfsprekend ook regelmatig onderwerp van gesprek.

 

Het bijzondere aan deze gesprekken is echter dan in IT de meeste gesprekken dan ‘inside-out’ gericht zijn. Het gaat bijna altijd over maatregelen, hulpmiddelen, hardware en software. Maar daar gaat het natuurlijk helemaal niet om, het is geen middelen discussie. Benader dit onderwerp liever vanuit de potentiele bedreigingen. Wat kan je gebeuren, hoe graat is de kans en impact, en bekijk vanuit dat perspectief naar de mogelijke maatregelen, de impact en de kosten daarvan.

 

Tijdens mijn activiteiten in de veiligheidsketen (Defensie, enz.) was het gebruikelijk te spreken over threat-analysis. Wat kan er gebeuren, in hoeverre is dit een risico, voor wie is dit een bedreiging en in welke mate, in hoeverre is er sprake van verhoogde kwetsbaarheid, en ga zo maar door. Niet voor niets werken organisaties die zich bezighouden met veiligheid vanuit het perspectief van de bedreiging. Zwitserland heeft niet voor niets geen marine.

 

Als je vanuit je bedreigingen en risico’s redeneert leg je de nadruk op wat je echt bezighoudt. Net zo goed als dat we ons niet moeten verzekeren te ‘te dragen onverwachte kosten’ moeten we niet teveel tijd, energie en geld besteden aan ‘bedreigingen met lage impact waarvan de kans dat ze optreden. Daarbij pleit ik niet tegen eenvoudige ‘commodity’ maatregelen. Natuurlijk is het wijs om firewalls, wachtwoorden, back-ups, enz. als basisvoorziening in je architectuur op te nemen. We doen de deur van ons huis ook op slot en een eenvoudige strip op het bovenraam iseen goedkoop en snel te installeren, onderhoudsvriendelijke maatregel die geen beperking in het gebruik betekent.

 

Leg de focus dus op bedreiging, impact, kans, aanwezige maatregelen in de diverse onderdelen van je IT omgeving (netwerk, hardware, software, database, …) en je krijgt snel een overzichtelijke matrix waarin je vanuit het perspectief van bedrijfsvoering ziet waar je grootste risico ligt en maatregelen ontbreken of tekortschieten. Beveilig wat je wilt beveiligen, denk in termen van preventie en herstel, van kosten en beperkingeIn in gebruik. Let er ook op dat meen draatregelen die beperkingen in gebruik betekenen, resulteren in het omzeilen van de maatregel. Ingewikkelde eisen aan wachtwoorden resulteren nog al eens in een bijzonder veilig wachtwoord, wat vervolgens overal gebruikt wordt… Ik sluit mijn auto altijd netjes af, maar bij iedere parkeeractie een fysieke beveiliging op het stuur vastzetten kost op den duur te veel moeite, geen gebruik, en schijnveiligheid.

 

De juiste beveiliging begint met een dreigingsanalyse en bewustwording. Als je hier eenmaal inzicht over hebt, is het invullen van de maatregelen een bewust keuzeproces, waarbij beveiligingsdeskundigen hun werk uitstekend kunnen doen. We begrijpen dan waarom we iets willen doen, en wat. Het hoe is dan aan hen. Zet dus altijd de know-why voor de know-how.

Advertenties

Geef een reactie

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit / Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit / Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit / Bijwerken )

Google+ photo

Je reageert onder je Google+ account. Log uit / Bijwerken )

Verbinden met %s