Wanneer nemen grote bedrijven security serieus?
Dankzij draadloze netwerken kun je vandaag de dag bijna overal genieten van internet. Veel restaurants, lunchrooms, cafés en bars laten hun gasten ongestoord via het lokale Wi-Fi netwerk internetten. Matthew Tanase keek laatst vreemd op toen hij in zijn favoriete lunchroom opeens geen verbinding meer had. De eigenaar bleek een authenticatie systeem te hebben geimplementeerd. Om te kunnen internetten moesten klanten een willekeurig gegenereerd wachtwoord bij de eigenaar halen. Verschillende mensen hadden de verbinding van de luchroom voor allerlei kwaadaardige doeleinden gebruikt, waarop de eigenaar besloot actie te ondernemen.
Voor een klein bedrijf is het implementeren van dit soort oplossingen een aanslag op de middelen. Het is dan ook vreemd dat grote organisaties, die vaak oneindige middelen hebben, er maar niet in slagen om hun beveiliging op orde te krijgen. Zo was er de zaak met ChoicePoint, waarbij oplichters de gegevens van duizenden Amerikanen wisten te bemachtigen. De volgende grote onderneming die een "slippertje" maakte was de Bank of Amerika, die tapes met de gegevens van 1,2 miljoen mensen was kwijtgeraakt. Een andere gigant die vanwege lakse security maatregelen het nieuws wist te halen was T-Mobile. Elk van deze bedrijven heeft de verplichting om onze informatie te beschermen zolang het in hun bezit is, maar teveel bedrijven lijkt dit niet te lukken. Tanase vraagt zich in deze column dan ook af wanneer grote ondernemingen security eens serieus nemen.
Wanneer nemen grote bedrijven security serieus? Antwoord:
nooit.
Jouw reactie, net zoals de titel suggereerd, is
generaliserend van aard.
Nieuws is enkel nieuws wanneer het afwijkt van de standaard
verwachting.
M.a.w. daar waar het goed gaat hoor je niets over.
Wanneer nemen grote bedrijven security serieus? Antwoord:
nooit.
Jouw reactie, net zoals de titel suggereerd, is
generaliserend van aard.
Nieuws is enkel nieuws wanneer het afwijkt van de standaard
verwachting.
M.a.w. daar waar het goed gaat hoor je niets over.
Mischien waar, maar zeldzaam. Het trieste is dat grote
maatschapijen en ministeries een broertje dood hebben aan
beveiligingsmaatregelen. Men komt bijna nooit verder dan "we
hebben toch een firewall ?
Indien het uitloopt om wat voor reden dan, wordt de security gekort. En
security maakt een project moeilijker. Dat is het laatste wat een project
leider wilt.
Security = moeilijker = duurder = meer tijd. Dat is de manier van denken
van 90% van de project leiders.
Security is bijna altijd een sluitpost in een project.
Indien het uitloopt om wat voor reden dan, wordt de security gekort. En
security maakt een project moeilijker. Dat is het laatste wat een project
leider wilt.
Security = moeilijker = duurder = meer tijd. Dat is de manier van denken
van 90% van de project leiders.
Vrees dat je gelijk hebt.
bij het inzetten van middelen (geld, tijd van personeel,
etcetera) voor het afdekken van bedrijfsrisico's. Risico's
op het gebied van de IT vallen daar ook onder.
Problemen, zoals de in het artikel genoemde voorbeelden,
komen voor omdat het bedrijf in kwestie het risico niet, of
niet goed, heeft ingeschat. Dan wel dat het risico bewust
gelopen is. Sommige risico's, zoals het verliezen van een
tape (menselijke fouten), zijn erg moeilijk af te vangen, of
het afvangen ervan wordt erg kostbaar gezien het risico dat
het afdekt.
De complexiteit van IT , en met name de beveiliging ervan,
is veelal de oorzaak dat IT-risicomanagement nog niet bij
elk bedrijf de juiste plek in de organisatie heeft gevonden.
De huidige risicomanagers zijn voornamelijk gespecialiseerd
in het onderkennen van risico's in het primaire proces. Tot
de tijd dat zij sensitief worden voor IT risico's, zullen ze
het moeten managen met behulp van interne specialisten, of
door het inhuren van bedrijven die dit samen met hen kunnen
doen.
Indien er een goede balans gevonden wordt tussen de risico's
die afgedekt worden met "controls" en de bewust te lopen
risico's, krijgen bedrijven grip op de IT(-beveiliging). Zo
niet, dan is het nog vallen en opstaan en loop het bedrijf
de kans ongewenst in het nieuws te komen.
Elk bedrijf, zo ook grote bedrijven, zal een afweging maken
bij het inzetten van middelen (geld, tijd van personeel,
etcetera) voor het afdekken van bedrijfsrisico's. Risico's
op het gebied van de IT vallen daar ook onder.
Problemen, zoals de in het artikel genoemde voorbeelden,
komen voor omdat het bedrijf in kwestie het risico niet, of
niet goed, heeft ingeschat. Dan wel dat het risico bewust
gelopen is. Sommige risico's, zoals het verliezen van een
tape (menselijke fouten), zijn erg moeilijk af te vangen, of
het afvangen ervan wordt erg kostbaar gezien het risico dat
het afdekt.
De complexiteit van IT , en met name de beveiliging ervan,
is veelal de oorzaak dat IT-risicomanagement nog niet bij
elk bedrijf de juiste plek in de organisatie heeft gevonden.
De huidige risicomanagers zijn voornamelijk gespecialiseerd
in het onderkennen van risico's in het primaire proces. Tot
de tijd dat zij sensitief worden voor IT risico's, zullen ze
het moeten managen met behulp van interne specialisten, of
door het inhuren van bedrijven die dit samen met hen kunnen
doen.
Indien er een goede balans gevonden wordt tussen de risico's
die afgedekt worden met "controls" en de bewust te lopen
risico's, krijgen bedrijven grip op de IT(-beveiliging). Zo
niet, dan is het nog vallen en opstaan en loop het bedrijf
de kans ongewenst in het nieuws te komen.
baten moet afwegen?
Security = moeilijker = duurder = meer tijd. Dat is de manier van denken
van 90% van de project leiders.
schroeven. Dan is het lastig, moeilijk en uiteindelijk duur. Als je bij een
project direct rekening houdt met security valt het allemaal wel mee. Maar
dat besef is er (nog) niet helemaal.
ervan de omzet ernstig bedreigt.
Dus, als ik het wel heb, zeg je dat men de kosten tegen de
baten moet afwegen?
Ik zou dat zeker doen. Sommige risico's ben je bereid te
nemen omdat ze erg klein zijn en/of de kosten voor het
afdekken erg hoog zijn. Dat neemt niet weg dat je een
"draaiboek" kunt voorbereiden voor het geval dat het risico
toeslaat. Het draaiboek bevat technische en organisatorische
maatregelen. Het is ook handig een hoofdstuk communicatie
(zowel intern als extern) toe te voegen. Dat helpt verdere
schade aan bijvoorbeeld het imago van het bedrijf te voorkomen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.