De moeilijkste stap van Informatie beveiliging.

In het dagelijkse nieuws komen er steeds meer zaken voorbij die betrekking hebben op informatiebeveiliging. Het is vandaag 7 december 2021. Een greep uit het nieuws van de afgelopen maand:

  • 5 November: Gouden tip voor aanhouding makers ransomware: $10.000.000
  • 9 November: Computer criminelen krijgen toegang tot honderduizenden sollicitatiebrieven, cv’s en andere persoonsgegevens van Homerun.
  • 12 November: Transavia krijgt €400.000 boete voor slechte beveiliging persoonsgegevens.
  • 27 November: Interpol pakt 1003 computer criminelen op, €24.000.000 onderschept en 2300 rekeningen geblokkeerd.
  • 29 November: Een van werelds grootste producenten van windturbines is slachtoffer geworden van gijzel-software.
  • 30 November: Criminelen hebben van 22 juni tot 3 november toegang gehad tot de netwerken van Panasonic.
  • 4 December: Veel routers van bekende merken bevatten kwetsbaarheden en kunnen hierdoor aangevallen worden. De ‘slechtste router had maar liefst 32 kwetsbaarheden.
  • 6 December: Gevoelige informatie van politie en overheden is gelekt bij een aanval op Abiom, een bedrijf die communicatietechnologie levert aan politie, defensie en de belastingdienst.
  • 6 December: Een nieuwe stichting werkt aan collectieve schadeclaim tegen het ministerie van volksgezondheid wegens een grote dataroof bij de GGD.

Moeilijke Materie

Dit betreft de zaken die bekend zijn. Dit is waar bedrijven en organisaties opgemerkt hebben dat er wat aan de hand was/is. Met zo’n doorlopende stroom aan berichtgeving verwacht je dat informatiebeveiliging een bijzonder moeilijke tak van sport is. De belangen zijn groot, de opbrengsten voor de criminelen groot en de schade aan de getroffen organisaties het grootst. Moeilijk materie, erg technisch allemaal, niet inzichtelijk of tastbaar.

Of toch niet?

Helaas is deze opvatting onzin. Je zou kunnen beargumenteren dat de risico analyse die je kan maken op je assets moeilijk is, of de technische benodigde inzichten hoe je een netwerk in zou moeten richten enorm veel kennis vereist. Of het configureren van een router/firewall. Maar dit zijn zaken die een professional voor je kan regelen.

Net zo als een professional die je inhuurt om je bomen te snoeien of om dakpannen op je huis te leggen. Het gaat helaas niet vanzelf. En nu zijn we aangekomen bij het moeilijkste punt wat betreft informatiebeveiliging.

Het moeilijkste punt

De erkenning geven aan dat je bomen gesnoeid moeten worden is vrij makkelijk, net zoals het herkennen dat je een paar dakpannen mist. Met die kennis doe je wat. Je onderneemt actie, pakt de telefoon en belt een tuinnier, in geval van de dakpannen een klusbedrijf. Je zoekt contact, maakt een afspraak, de opdracht wordt uitgevoerd, je krijgt een factuur en het probleem is opgelost, keurige bomen, en geen potentiële lekkages. En met een kleine moeite geef je aan dat je het op prijs stelt dat de tuinier volgend jaar terug komt, of aangeeft wanneer het beste moment is om de bomen te snoeien.

Maar waar is de erkenning voor informatiebeveiliging? Die komt vaak pas als het te laat is, vraag maar aan meneer Mandemakers, of aan de directie van Pathé. De heer Mandemakers zijn complete organisatie heeft een week stilgestaan en Pathé heeft €19.000.000 overgemaakt aan criminelen. Ook hier was alles op orde, niets aan de hand, maar ondertussen was door de wildgroei van de bomen het hele blok dichtgegroeid en lag er geen dakpan meer op het dak.

Hoe geef ik erkenning aan informatiebeveiliging?

Erkenning is stap 1, na erkenning kan je beginnen. Om het simpel te houden, heb je de afgelopen paar jaar niets gedaan aan informatiebeveiliging, dan mis je een paar dakpannen. Nu is het tijd om actie te ondernemen, want het laatste wat je wil is schade door iets wat je had kunnen voorkomen, of erger in de voorgaande opsomming voorkomen.

En wat erken ik dan?

Om wat gevoel bij de materie te creëren hebben we een tool opgesteld waarin ons inzien de minimale eisen aan informatiebeveiliging voor een bedrijfsvoering uiteengezet zijn. Dit is een start, inzicht creëren, risico’s erkennen en waar gewenst actie ondernemen. Uiteraard adviseren wij van Borgesius, Borgesuis, helaas verkopen wij geen informatiebeveiliging, wij assisteren waar we gevraagd worden.

“A business will have good security if its corporate culture is correct. That depends on one thing: tone at the top.”

– WILLIAM MALIK, TREND MICRO

Nieuwsgierig geworden naar de tool, deze kan je >hier< vinden. Geen zin aan tools, gewoon gesprek voeren? 050 – 364 5830