Hebt u enig idee waarom u uw it beveiligt?
Als je deze vraag
al durft te stellen, dan zie je de verbazing in de gezichten tegenover
je: dat weet je toch! Het is toch logisch dat niemand 'onze' it binnen
mag en mag zien wat we doen en hebben? En 'wij' moeten natuurlijk wel
ongestoord kunnen werken, als en wanneer we dat willen. Nou ja, wordt
gegrapt, in ieder geval voor 99% van de tijd. Je vraagt dan toch niet
waarom, je doet het gewoon. Einde discussie.Maar zo simpel is dat niet.
Natuurlijk moet je je beschermen tegen virussen en de momenten dat it
'kapot' gaat. Je moet natuurlijk ook goed nadenken over wat je gaat
doen als je pand afbrandt, of als de stroom uitvalt. Maar dat zijn technische
onderwerpen. Als je je auto niet kunt missen zorg je ook voor goed onderhoud
en vervanging voor als het toch fout mocht gaan. Soms kan dat simpel,
door bijvoorbeeld een extra pc op de plank te zetten, soms heb je een
computeruitwijkfaciliteit nodig die veel tijd en inspanning vraagt.
Beveiligen is erg
duur. Als het om it-techniek gaat, kan je vaak ook niet om die kosten
heen. Maar hoe zit het met het beveiligen van informatie? 'Ah, functionele
beveiliging', wordt dan geroepen. Het beveiligen van het gebruik van
it via de functionaliteit, de gecreëerde manier die ervoor zorgt
dat we al dan niet bij onze informatie kunnen komen. Dat is wel een
erg ruwe manier om Œwat erin zit‚ beperkt beschikbaar te
stellen aan geautoriseerde gebruikers.
Neem nu een internet-pc.
Waarom zouden de gegevens die daar op staan beveiligd moeten worden?
Via internet verkregen gegevens worden over het algemeen uit open bron
verkregen, of in ieder geval via algemene kanalen. Die gegevens kunnen
niet of nauwelijks geheim zijn, want iedereen kan ze van het net halen.
Misschien dat je niet wil dat 'de tegenstander' weet dat je bepaalde
openbrongegevens hebt (misschien ook juist wel), maar dat zal lang niet
voor alle van het net gehaalde gegevens gelden. Dat betekent dus dat
we in feite moeten weten welke gegevens voor ons van belang zijn, en
welke (in principe) niet. Ofwel: welke gegevens leveren informatie op
en welke niet. Met informatie loop je immers risico, met gegevens niet.
Risico is het kernwoord,
het risico dat een organisatie met haar informatie loopt. Dat risico
wordt gedragen door de directie en het management van de organisatie,
zij hebben die verantwoordelijkheid gekregen en genomen. Het risico
dat het werk stokt, omdat de informatievoorziening (deels) uitvalt door
technische problemen, is een heel ander risico dan wanneer bijvoorbeeld
informatie over personeel of over klanten bij de concurrentie of zelfs
op straat komt te liggen. Dat veroorzaakt niet alleen problemen in de
bedrijfsvoering, er bestaan in Nederland ook wetten zoals die rond persoonlijke
privacy die overtreden kunnen worden. Een organisatie en ook haar medewerkers
kunnen zelfs straf opgelegd krijgen; de verantwoordelijken dus, het
management.
Dat is echter geen
reden om alle gegevens dan maar liever veel te goed of zelfs maximaal
te gaan beveiligen. Heel veel organisaties doen dat op dit moment en
geven ontzettend veel geld uit aan een (veel) te hoge graad van beveiliging
van gegevens. Dat komt doordat nog maar heel weinig organisaties uitgezocht
hebben welke gegevens informatie opleveren, laat staan dat het management
per soort informatie al heeft uitgesproken welke risico‚s men
met die informatie wil (of kan) lopen. Het dichtspijkeren van de informatievoorziening
lost het natuurlijk ook op, maar dat kost wel veel extra geld. Zekerheid
voor alles?