Om de huidige problemen met IT-security aan te pakken is het belangrijk dat het onderwerp niet alleen bij IT'ers leeft. "Als je naar bedrijven gaat zie je dat de IT'er en CTO zich met IT governance bezig houden, maar er zijn weinig bedrijfsmensen aan de businesskant die binnen de besluitvorming IT op de agenda zetten. Die parallel kun je ook naar IT-security doortrekken", aldus Steven de Haes tegen Security.nl.

De Haes is associate professor Information Systems Management aan de Antwerp Management School en gastdocent aan de Universiteit Antwerpen. Hij sprak tijdens het Maturing Business Information Security event van B-able in Lent.

Volgens De Haes is informatiebeveiliging al lange tijd onderwerp van gesprek, maar vindt de discussie alleen plaats in het IT-veld. Tijdens de opleidingen die de professor verzorgt wordt er gevraagd om twee mensen te sturen, zowel een IT'er als iemand van de businesskant. "Aan het einde van de rit zien we elk jaar dat er alleen maar IT'ers op af komen. Volgens De Haes betekent dit dat er binnen het bedrijfsleven nog steeds de perceptie heerst dat informatiebeveiliging alleen een IT-job is. "Zolang we in die perceptie leven blijven we grote uitdagingen houden."

Bedrijven zouden IT-security als een complex technologisch probleem zien, terwijl dat het niet is, gaat De Haes verder. Alle media-aandacht voor het probleem kan een podium creëren, maar uiteindelijk is het volgens de professor een illusie dat bedrijfsmensen het zelf zullen oppikken. Het is aan de IT'er om manieren te vinden om de businessmensen ook aan de tafel te krijgen.

Standaarden
Als het gaat om governance, certificeringen en industriestandaarden wordt vaak gezegd dat bedrijven deze regels vaak als eindpunt beschouwen en niet verder in de veiligheid willen investeren. Zodra men aan de minimaal vereiste standaard voldoet vinden bestuurders het voldoende, ook al biedt de standaard vaak een basaal beveiligingsniveau. De Haes ziet een evolutie in de markt waarbij er ook wordt gekeken of het proces doet wat het moet doen.

"De essentie is niet of je allerlei processen en procedures formeel documenteert. Maar of het proces z'n doelstelling haalt." De Haes denkt dan ook dat de beoordelingskaders die de markt gaat gebruiken zullen veranderen. "Die zullen zich focussen op de doelstelling van het proces en niet op het hebben van procedures."

Directie
Uit eigen onderzoek dat De Haes uitvoerde bleek dat vele raden van bestuur en directiecomités zich niet uitspreken over het 'risico appetijt' van de organisatie en dat vervolgens weer delegeren. "Dat is geen technische vraag en die moet een raad van bestuur of directiecomité zich gewoon stellen." Als De Haes in discussie met bedrijfsmensen raakt zegt hij aan het einde vaak: "U krijgt de IT die u verdient. Als je op dat niveau niet de nodige tijd vrijmaakt om de risico appetijt kritisch te evalueren en je delegeert het aan IT, dan kun je ook niet verwachten dat IT het juiste antwoord geeft."

De IT'er kan het volgens De Haes wel proberen om een zo'n goed mogelijk antwoord te geven waar het bedrijf behoefte aan heeft, maar zou daar niet toe in staat zijn. De huidige IT-security problemen worden dan ook voorlopig niet opgelost. "De grote uitdaging voor de komende jaren is om die bovenkant wakker te krijgen. Ik geloof in een bottom-up aanpak, maar ik geloof ook zeer zeker dat voor informatiebeveiliging een top-down aanpak zeer belangrijk is."