Aandacht voor IT-­security moet op hoger plan

Meer aandacht voor bewustwiording rond IT-security

Op het terrein van IT-security valt nog steeds veel te verbeteren, zo is te concluderen uit een rondetafelsessie die onlangs werd georganiseerd door beveiligingsspecialist Pinewood uit Delft. De belangrijkste conclusie uit de gesprekken is dat IT-security nog te veel als een IT-aangelegenheid wordt gezien. Het besef dat de business schade kan ondervinden van een security-incident wordt door het management van veel bedrijven met de mond wel beleden, maar concrete maatregelen om mogelijke schade te beperken, blijven doorgaans uit.

Toegegeven, het merendeel van de bedrijven aan tafel is actief op het terrein van cybersecurity en dat maakt hun boodschap wellicht gekleurd. Maar angst zaaien werkt niet, aldus Hans Doornbosch, oprichter en directeur van de firma Pinewood. “Het besef van urgentie komt doorgaans pas als bedrijven ofwel geconfronteerd worden met een hack, of als je laat zien hoe makkelijk het is om in de systemen van een organisatie te infiltreren.”

Daartoe voert Pinewood met grote regelmaat penetratietests bij organisaties uit. Op basis daarvan durft Doornbosch te stellen dat er een aantal sectoren zijn die hun security goed op orde hebben. Daaronder de financiële wereld, waar beveiliging door governance wordt afgedwongen. “Maar we komen ook tenenkrommende situaties tegen”, aldus Doornbosch. Namen wil hij niet noemen, maar de bewering dat het onder meer in de zorgsector droevig gesteld is met IT-beveiliging neemt hij graag voor z’n rekening. “In ziekenhuizen, ook de grote, ben je doorgaans in een uur binnen en heb je toegang tot vrijwel elk systeem.”

Kwalijk is dat de schrikreactie die zo’n penetratietest teweeg brengt niet wordt opgevolgd door adequate maatregelen. “We maken mee dat kwetsbaarheden die we bij een test geconstateerd hebben een jaar later nog niet zijn verholpen”, aldus Doornbosch.

De conclusie dat kwetsbaarheden die een jaar bestaan, wellicht minder gevaar opleveren dan beveiligers willen doen geloven wordt meteen weerlegd. “Wie vergeet de achterdeur op slot te doen en desondanks geen vreemden in huis krijgt heeft geluk gehad. Het betekent niet dat een niet-afgesloten deur geen enkel risico vormt.”

Dat organisaties, niet alleen in de zorgsector, traag zijn met het repareren van beveiligingslekken is vaak terug te voeren op een tekort aan budget. “Je ziet dat budgetten overal onder druk staan en naarmate organisaties minder last lijken te hebben van cybercriminaliteit is men minder bereid om er budget voor vrij te maken.” Schijn bedriegt. Het komt regelmatig voor dat IT-systemen gehackt zijn, zonder dat men dat in de gaten heeft. Doornbosch kent bedrijven van wie de server­capaciteit maandenlang werd gebruikt door hackers, zonder dat de bedrijven zich daarvan bewust waren.

Dat is een direct gevolg van gebrek aan expertise. Veel organisatie kunnen zich geen fulltime IT-beveiliger veroorloven. Daarnaast is IT-security een kat- en muisspel tussen cybercriminelen en beveiligers, waarbij de ontwikkelingen heel snel gaan. Daarmee gelijke tred houden is voor dedicated IT-security specialisten een dagtaak, laat staan dat bedrijven dat binnen de eigen organisatie zouden kunnen.

Zijn we daarmee op het terrein van IT-security aan de goden overgeleverd? Nee, stelt Doornbosch. “Afdoende IT-beveiliging, tegen tarieven die organisaties zich kunnen veroorloven is wel degelijk mogelijk. Maar ik zie nog te vaak dat er geen beleid is rond IT-security. Het management van bedrijven gaat pas echt naar IT-security kijken als ze met cybercriminaliteit geconfronteerd zijn. Dan is er ineens wel geld en moet het allemaal halsoverkop geregeld worden.”

Wat Doornbosch bij dit soort maatregelen achteraf opvalt, is dat veel bedrijven eigenlijk geen idee hebben welke data tot hun strategische informatie behoort. “Voor veel bedrijven is ‘informatieclassificatie’ te veel werk. Daar begint men gewoonweg niet aan.” Toch ligt daar volgens Doornbosch de sleutel tot adequate beveiliging. ‘Weet wat de kroonjuwelen van je bedrijf zijn en begin met die te beveiligen. Dat maakt een organisatie al veel minder kwetsbaar.”

 

Tag

Onderwerp



Niet gevonden? Vraag het de redactie!

Heeft u het antwoord op uw vraag niet gevonden, of bent u op zoek naar specifieke informatie? Laat het ons weten! Dan zorgen we ervoor dat deze content zo snel mogelijk wordt toegevoegd, of persoonlijk aan u wordt geleverd!

Stel uw vraag