“Zet het gewoon op de agenda”
Stef Liethoff: ‘Weet wíe er aan je deur klopt’.
Dat informatie beveiliging verdient, is duidelijk. Maar hoe? Volledig op slot draaien kan altijd, maar dat maakt de informatie waardeloos. Voor het selectief toegankelijk maken zijn veel strategieën bedacht. Die houden altijd een risico in. Want hackers zijn creatief. En volhoudend. Het beveiligen van informatie is daarmee een ‘never ending story’; een dynamisch proces waarin nieuwe bedreigingen steeds moeten worden afgetroefd. Stef Liethoff, directeur van Contakt Information Control: ‘Een pragmatische aanpak is essentieel. Het vinden van een balans tussen het gewenste en het mogelijke. En het afwegen van de risico’s. Als je alles in je strategie wilt betrekken, dreigt verzanding.”
Liethoff schetst dat informatiebeveiliging geen zaak is van ICT alleen. “Je kunt je informatiesystemen nog zo goed beveiligen, maar als medewerkers vertrouwelijke documenten uitprinten en die vervolgens openlijk op hun bureau leggen, is dat verloren moeite.”
Beveiliging kent een aantal invalshoeken. Naast oneigenlijke toegang, is er ook het gevaar van verminking. Liethoff schetst dat dat in veel gevallen eenvoudig kan. “Een diskette die een concurrent toestuurt, kan al fataal zijn. Het lijkt vreemd, maar dat komt veel voor.” Daarnaast zijn er uiteraard de interne dreigingen: “Een simpel voorbeeld? Sollicitanten wordt wel gevraagd naar diploma’s en ervaring, maar de integriteit wordt zelden gecontroleerd. Daar ligt al een eerste kiem voor fraude.”
Ondanks proactieve maatregelen, lijkt misbruik of aantasting van systemen niet te voorkomen. Voor de fraudebestrijding achteraf – om de daders te achterhalen en herhaling te voorkomen – is ‘logging’ essentieel. Daarover ontstaat een discussie, die de onmogelijkheid van een perfecte beveiliging onderstreept: “Wie de loggingprocedures inricht, kan die ook manipuleren.” En: “Zie die snel in omvang toenemende loggingbestanden maar eens te beheren.” Maar ook: “Ondanks alle geschetste belemmeringen kan het nooit bestaan dat programmeurs ergens mee aan de slag gaan zonder dat dat wordt opgemerkt.”
Liethoff is het met zijn gehoor eens dat informatiebeveiliging een bedrijfskritisch item is, en dus de aandacht van het hoogste management behoeft. “Zet het gewoon op de agenda,” is zijn advies. En dan doelt hij niet alleen op de beveiligingsstrategie op zich, maar ook op de beheersing van de gevolgen daarvan. “Heeft iemand een procedure om de pers te woord te staan na een incident? Zodat niet alleen calamiteiten naar buiten komen, maar ook datgene wat doeltreffend is voorkomen?”
Concluderend stelt Liethoff dat het compartimenteren van netwerken al een goede stap is, in combinatie met de zorg dat systemen alleen maar dát kunnen doen waarvoor ze zijn bestemd, en bonafide medewerkers op de hoogte zijn van de manieren waarop zijzelf en hun passwords kunnen worden misbruikt. “Goede communicatie is daarmee de kern van elke beveiligingsstrategie.”