Steven's weblogs en columns (nederlands)
Iedereen kan informatie van deze weblog overnemen onder de voorwaarde dat hij/zij blijft verwijzen naar deze weblog.
Hebt u enig idee waarom u uw it beveiligt?Als je deze vraag al durft te stellen, dan zie je de verbazing in de gezichten tegenover je: dat weet je toch! Het is toch logisch dat niemand 'onze' it binnen mag en mag zien wat we doen en hebben? En 'wij' moeten natuurlijk wel ongestoord kunnen werken, als en wanneer we dat willen. Nou ja, wordt gegrapt, in ieder geval voor 99% van de tijd. Je vraagt dan toch niet waarom, je doet het gewoon. Einde discussie.Maar zo simpel is dat niet. Natuurlijk moet je je beschermen tegen virussen en de momenten dat it 'kapot' gaat. Je moet natuurlijk ook goed nadenken over wat je gaat doen als je pand afbrandt, of als de stroom uitvalt. Maar dat zijn technische onderwerpen. Als je je auto niet kunt missen zorg je ook voor goed onderhoud en vervanging voor als het toch fout mocht gaan. Soms kan dat simpel, door bijvoorbeeld een extra pc op de plank te zetten, soms heb je een computeruitwijkfaciliteit nodig die veel tijd en inspanning vraagt.
Beveiligen is erg duur. Als het om it-techniek gaat, kan je vaak ook niet om die kosten heen. Maar hoe zit het met het beveiligen van informatie? 'Ah, functionele beveiliging', wordt dan geroepen. Het beveiligen van het gebruik van it via de functionaliteit, de gecreëerde manier die ervoor zorgt dat we al dan niet bij onze informatie kunnen komen. Dat is wel een erg ruwe manier om Œwat erin zit‚ beperkt beschikbaar te stellen aan geautoriseerde gebruikers.
Neem nu een internet-pc. Waarom zouden de gegevens die daar op staan beveiligd moeten worden? Via internet verkregen gegevens worden over het algemeen uit open bron verkregen, of in ieder geval via algemene kanalen. Die gegevens kunnen niet of nauwelijks geheim zijn, want iedereen kan ze van het net halen. Misschien dat je niet wil dat 'de tegenstander' weet dat je bepaalde openbrongegevens hebt (misschien ook juist wel), maar dat zal lang niet voor alle van het net gehaalde gegevens gelden. Dat betekent dus dat we in feite moeten weten welke gegevens voor ons van belang zijn, en welke (in principe) niet. Ofwel: welke gegevens leveren informatie op en welke niet. Met informatie loop je immers risico, met gegevens niet.
Risico is het kernwoord, het risico dat een organisatie met haar informatie loopt. Dat risico wordt gedragen door de directie en het management van de organisatie, zij hebben die verantwoordelijkheid gekregen en genomen. Het risico dat het werk stokt, omdat de informatievoorziening (deels) uitvalt door technische problemen, is een heel ander risico dan wanneer bijvoorbeeld informatie over personeel of over klanten bij de concurrentie of zelfs op straat komt te liggen. Dat veroorzaakt niet alleen problemen in de bedrijfsvoering, er bestaan in Nederland ook wetten zoals die rond persoonlijke privacy die overtreden kunnen worden. Een organisatie en ook haar medewerkers kunnen zelfs straf opgelegd krijgen; de verantwoordelijken dus, het management.
Dat is echter geen reden om alle gegevens dan maar liever veel te goed of zelfs maximaal te gaan beveiligen. Heel veel organisaties doen dat op dit moment en geven ontzettend veel geld uit aan een (veel) te hoge graad van beveiliging van gegevens. Dat komt doordat nog maar heel weinig organisaties uitgezocht hebben welke gegevens informatie opleveren, laat staan dat het management per soort informatie al heeft uitgesproken welke risico‚s men met die informatie wil (of kan) lopen. Het dichtspijkeren van de informatievoorziening lost het natuurlijk ook op, maar dat kost wel veel extra geld. Zekerheid voor alles?