Alleen wetgeving kan computerbeveiliging verkopen
Pas als er bij de buren of henzelf is ingebroken besluiten de meeste mensen een inbraakalarm aan te schaffen, en dat geldt ook voor bedrijven en gebruikers die hun systemen beveiligen. Zeker in het bedrijfsleven wordt menig beveiligingsplan uitgesteld, en zolang men in de tussentijd niet wordt getroffen, heeft men flink wat geld bespaard. En ook al wordt men getroffen, het gaat aan de meeste bestuurders en directeuren voorbij.
Om beveiliging te verkopen hanteren beveiligingsbedrijven twee strategieën, namelijk angst en hebzucht. Ze proberen ondernemingen bang te maken voor allerlei dreigingen, maar zodra die niet door de bedrijfstop gevoeld worden, zullen die daar ook geen geld voor overhebben. De andere strategie is het pretenderen dat het hebben van security een meerwaarde heeft, het iets oplevert. Ook dit werkt niet.
Zolang de bedrijfstop de "pijn" van cyberaanvallen niet voelt, krijgen IT'ers geen meer budget. Dankzij wetgeving is dat een ander verhaal, want nu snapt zelfs de directeur dat het in orde moet zijn. Dankzij Sarabanes-Oxley is er bijvoorbeeld in de VS veel meer security verkocht. "Wetgeving kan dan ook als een stok worden gezien om meer budget te voor IT-security te krijgen, en vaak met succes", zo liet Bruce Schneier vorige week weten. De stelling van deze week luidt derhalve: Alleen wetgeving kan computerbeveiliging verkopen
angst- of hebzucht-campagne geweest. Hoewel wetgeving
(dreigen met straf) natuurlijk ook een angst-gedreven idee
is ;-]
Vraag is alleen: Hoe gaat de wetgeving eruitzien? In WCC-I
hadden we ten minste nog 'enige beveiliging', in WCC-II is
dat alweer weggegooid. Moet WCC-III dan maar rule-based vol
met pietlut-regeltjes? Als managers erom vragen, kunnen ze
het krijgen, zucht.
iets doen als men gestraft wordt als men iets niet doet....
De mens is van nature lui....
En dan hebben wij in onze branche nog geluk: twee soorten pakkans: de
bestuurdersaansprakelijkheid (leve SOx?) en het risico van
incidenten/calamiteiten.
informatiebeveiliging af te dekken, zodat de bestuurder kan
zeggen dat hij/zij zich aan de wet houdt. Dat blijft dus een
papieren exercitie die geen enkele verbetering levert aan
het beveiligingsniveau.
Wat voornamelijk helpt is vlak voor het vaststellen van de
budgetten voor de komende periode een sappig
beveiligingsincident bij een concurrent. Als wetgeving zou
helpen, zou het wetgeving moeten zijn die bedrijven dwingt
om beveiligingsincidenten publiek te maken, zoals
bijvoorbeeld in Californië het geval is. Daar is een bedrijf
verplicht melding te doen aan de slachtoffers van
security-incidenten. Alhoewel je daarbij ook moet oppassen
voor overexposure.
maar is op zich niet voldoende. Het gevoel dat wanneer het fout gaat dat
het weleens jouw hoofd kan zijn dat rolt, is een veel grotere drijfveer. Het
feit dat de keten er naar vraagt kan ook helpen. Enne, hoewel lastig, erop
blijven hameren dat de Business zelf verantwoordelijk is en dat IT alleen
faciliteert en dus vooral niet zelf gaan bouwen.
Zucht, dit was ruim 20 jaar geleden al zo, maar blijkbaar wil men niet leren.
meerwaarde heeft, het iets oplevert. Ook dit werkt niet. Alleen
wetgeving kan computerbeveiliging verkopen."
Of bijvoorbeeld voorwaarden voor verzekeringspolissen, of de marketing
waarde van de genomen maatregelen richting klanten.
Security op zich is, zonder dergelijke meerwaarden, geen doelstelling op
zich voor het management van een bedrijf, maar maken deel uit van de
bedrijfskosten en daarbij gaat men uit van een kosten/baten analyse.
Wanneer de (verwachte) directe en indirecte kosten van het niet nemen
van maatregelen lager liggen dan de kosten van de te nemen
beveiligingsmaatregelen, dan is het dus begrijpelijk dat men ook de optie
overweegt om de maatregelen niet te nemen of vooruit te schuiven (ook
al vind ik dat als beveiligingsspecialist niet leuk).
Ook kun je je afvragen of sommige beveiligingsmaatregelen wettelijk
verplicht gesteld kunnen en moeten worden zolang er geen belangen van
derden op het spel staan. Wanneer een ondernemer ervoor kiest risico te
lopen is het zijn eigen zaak, wanneer hij echter ook rekening moet
houden met privacygevoelige informatie en andere belangen van derden,
dan is het een ander verhaal.
prescriptieve en repressieve wetgeving.
Beide zijn nodig: prescriptieve geeft aan wat men geregeld
moet hebben (anders volgt straf) om incidenten te voorkomen
-- incidenten zijn symptomen dat men het niet geregeld
heeft; repressieve maakt als een bezemwagen al het overige
wat ethisch/moreel of hoe je het noemen wilt, strafbaar en
denkt dus ook incidenten die 'toch nog' optreden of niet in
de regels gevangen waren (voortschrijdend vakgebied v.v.
achterlopende wetgeving).
Een incident bij de buren is inderdaad 'goed', om te wijzen
hoe 'nabij' het risico (angst) op straf wel is. Zie ook:
mobiele flitspaaltjes.
Maar 'we' hebben nog geen maat voor hoe goed we bezig zijn;
misschien moet 'de' IT-wereld dat maar eens gaan ontwikkelen ..?
informatiebeveiliging af te dekken, zodat de bestuurder kan
zeggen dat hij/zij zich aan de wet houdt. Dat blijft dus een
papieren exercitie die geen enkele verbetering levert aan
het beveiligingsniveau."
Die aanname gaat enkel op wanneer er geen controle wordt uitgevoerd
om te kijken of hetgeen wat wettelijk verplicht wordt gesteld ook
daadwerkelijk wordt uitgevoerd.
Als je kijkt naar zaken als SOX-compliancy, dan zie je dat wanneer dit goed
wordt doorgevoerd, deze regels wel degelijk directe impact hebben op
het beveiligingsniveau (SOX = Sarbanes Oxley Act).
Al wil een stempel "compliant" nog niet zeggen dat je rustig achterover
kunt gaan hangen.
informatiebeveiliging af te dekken, zodat de bestuurder kan zeggen dat
hij/zij zich aan de wet houdt. Dat blijft dus een papieren exercitie die
geen enkele verbetering levert aan het beveiligingsniveau."
En je denkt dat wanneer er wettelijke regels zijn voor beveiliging, je enkel
op papier hoeft te verklaren dat je je hieraan houdt, en dat dit niet door
middel van audits wordt gecontroleerd om te kijken of je daadwerkelijk
compliant bent ?
firewalls, proxies, filters, scanners en noem maar op. Al
lang voordat de overheid zich bewust werd van zoiets als
internet.
Dus ik denk dat de stelling aantoonbaar niet klopt.
scanners en noem maar op. Al lang voordat de overheid zich bewust werd
van zoiets als internet."
Impliceert de aanwezigheid van bepaalde hardware automatisch dat een
bedrijf de beveiliging op orde heeft ? Immers is de beveiliging een proces
dat goed moet worden bijgehouden, en tijdsintensief is. Veiligheid is geen
accumulatie van een aantal produkten.
automatisch dat een bedrijf de beveiliging op orde heeft ?
Immers is de beveiliging een proces dat goed moet worden
bijgehouden, en tijdsintensief is. Veiligheid is geen
accumulatie van een aantal produkten.
het is geen antwoord op de vraag. De stelling Alleen
wetgeving kan computerbeveiliging verkopen zou
betekenen dat bedrijven pas geld uitgeven aan
beveiligingsproducten, wanneer de wet dat zou voorschrijven.
Op het moment dat bedrijven daar al geld aan uitgeven zonder
die wetgeving, is de stelling dus niet waar.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.