Eens. Meestal is het het management die bepaalde risico's onderschat of
zelfs bepaalde risico's ontkent.

Mee eens alleen dan wel in de vorm dat de directie verantwoordelijk is voor
het aannemen van it experts, we hoefen toch niet te verwachten dat directie
leden eerst een it cursus moeten gaan volgen voordat ze directie lid mogen
worden.

Mee eens, maar als de directie er alles aan doet om de beveiliging te
verbeteren en het network oid wordt gehackt, dan ligt de schuld wel bij de
sysop...

Ik denk dat in het algemeen de directie gewezen moet worden
op de oorzaken en gevolgen van slecht of juist goed
netwerkbeheer.

Je kunt niet aansprakelijk gesteld worden wanneer niet vanaf
het eerste moment duidelijk is wat de consequenties zijn.
Want dat bepaald hoe competent je bent of niet. Incompetente
mensen die dus niet op de hoogte zijn, kunnen mijn inziens
niet aansprakelijk gesteld worden.

Op de keper beschouwd, moet de directie er dus wel zelf voor
zorgen dat ze goed geinformeerd zijn. Weten wat de oorzaken
en gevolgen zijn en daar een passend beleid op toepassen.
Dan pas kan de directie aansprakelijk gesteld worden.

Aan de andere kant........... een directie die willens en
wetens zich hier niet in verdiept, alle voorlichting aan de
kant schuift en zich dus eigenlijk distantieerd van alles
wat met IT en beveiliging te maken heeft, noem ik zelf ook
incompetent. Struisvogelgedrag dus.

- Unomi -

Niet mee eens.

Iedere medewerker van een organisatie is op zijn functieniveau even
aansprakelijk voor informatiebeveiliging als de direktie.
Alleen zijn de verantwoordelijkheden en bevoegdheden van medewerkers
over het algemeen minder als die van de direktie.

Het is niet voor niets dat (goede) proces-gerichte methodieken voor risico
bepaling zowel directie en management betrekken, maar ook de
medewerkers in de 'productie' betrekt. Iedereen kijkt op een andere manier
tegen risico's.

Op het moment dat een directie zich niets aantrekt van informatiebeveiliging
is het nog maar de vraag of alleen de directie incompetent is.
Mogelijk is ook de voorlichter niet competent, namelijk om de operationele
beveiligingsrisico's te vertalen naar ondernemings-risico's.
Of deze goed te onderbouwen.

Eens. Het komt nog altijd te vaak voor dat security het een
ondergeschoven punt is in het ICT-beleid van een bedrijf.
Het laks omgaan met de beveiliging van het bedrijfsnetwerk
komt ook regelmatig van onwetende of lakse managers, die
andere prioriteiten stellen.

Er zijn genoeg voorbeelden bekend waarbij medewerkers
vertrouwelijke documenten "maar even naar hun Hotmail moeten
sturen", als men er thuis ook nog even aan willen werken.
Dat de systeembeheerder hier graag een VPN voor op had
willen zetten, wordt dan door het management weer als
hinderlijk of overbodig ervaren, onder het motto "Zo kan het
toch ook? Dus wat is het punt?"

Mijn punt is daarom ook dat er dus bewust een goed beleid
opgesteld moet worden, waar ook security een belangrijk deel
vanuit maakt. Wanneer een bedrijf de risico's heeft
onderschat, dan is dat dus ook eigen schuld. Een 100%
afscherming is weliswaar niet mogelijk, maar met een gedegen
beleidsplan zijn met juiste backups ook calamiteiten
relatief snel te verhelpen.

Conclusie: De directie is inderdaad aansprakelijk voor
slechte beveiliging

Oneens. Op allerlei fronten, vooral met de formulering van de stelling.
Uit het stukje lijkt het alleen over 'netwerk beveiliging' te gaan howel de
stelling over 'beveiliging' gaat.

Wanneer men de stelling vertaald naar 'netwerk beveiliging' dan is het
natuurlijk een onhoudbare stelling. Probeer netwerk beveiliging maar eens
te definieeren en je zult zien dat dat niet gaat. Je kunt netwerk beveiliging niet
los zien van security awareness bij al het personeel, laptop- en deurbeleid
etc etc.

Daarnaast heeft degene die deze stelling heeft verwoord geen benul van het
verschil tussen 'aansprakelijk' en 'verantwoordelijk'. Ik ben verantwoordelijk
voor het feit dat ik mijn fiets niet op slot zet. Maar om mij nou aansprakelijk te
stellen voor het feit dat mijn gejatte fiets gebruikt worden bij een ramkraak...

Dit soort stellingen zijn absurd. Veel beter zou zijn dat
verzekeringsmaatschappijen dit op zich nemen. Een bedrijf kan zich
verzekeren tegen inbraak. Je hebt dan wel bepaalde verantwoordelijkheden
zoals de deur dicht houden. Een verzekering kan korten op de uitkering, of
de premie omhoog doen aan de hand van het security beleid. Op die manier
wordt zonder het juridisch allemaal schimmig te maken een bedrijf toch
gedwongen zichzelf security-bewuster op te stellen.

Beste Aardbei, je hebt gelijk. Als je het zo gaat lezen wel
tenminste. Ik ben ook een voorstander van een
verzekeringstructuur dan een juridisch complex geheel.

Verzekering zet al aan tot bewuster nadenken, omdat het je
geld gaat kosten qua premie. Wat dek je wel en wat dek je
niet? Wat je niet dekt, dat weet je dat je dat niet dekt.
Dat is ook een vorm van bewustzijn.

Maar dan nog....... het bestuur moet wel inzien dat zo'n
verzekering nodig is. Dus is die daar verantwoordelijk voor.

De vraag is ook eigenlijk nog op welk niveau je
aansprakelijkheid wilt afdwingen. Op top niveau, of
middenkader? Waar vallen de kernbeslissingen?

- Unomi -

Eens met de stelling. De redenen zijn al genoemd. Een
vraagje voor degenen die het er niet mee eens zijn:

¨Wie is dan wel verantwoordelijk/aansprakelijk?¨

RelaX

PS. Verder sluit ik me helemaal aan bij Aardbei en vind dat
de redactie wat zorgvuldiger moet formuleren. Anders wordt
het nooit wat...
Rlx

Eens met de stelling, oneens met Aardbei.

Beveiliging valt en staat met een goed beleid. Beleid wordt gemaakt door
de directie en daarmee verantwoordelijk.

Als de directie te weinig kennis heeft om een gedegen beleid te voeren
dan heeft de directie de plicht zich te laten informeren door de betrokken
(afdelings)managers, kennis in te huren of zich deze eigen maken.

Beveiliging is binnen tal van bedrijven als sluitpost gezien en eigenlijk
nooit een volwaardig onderdeel van de bedrijfsvoering, niet alleen in
Nederland maar in de gehele wereld.

Op deze wijze worden de directieleden gedwongen om hun
verantwoording te nemen.

Brian

Ik wilde eigenlijk hetzelfde zeggen, maar kwam niet tot zo'n
beknopte formulering. Klasse Brian......

- Unomi -

Brian: volgens mij worden directieleden vanzelf gedwongen security
maatregelen te nemen wanneer de gevolgen van het niet nemen van
maatregelen geld kosten.
Zoals ik al zei zullen verzekeringspremies omhooggaan, maar ook de
reparatiekosten en de beschadiging van de reputatie zijn geen dingen die
een directie zich niet zal aantrekken.

Wat is de toegevoegde waarde van eea juridisch afdwingen?

Eens met de stelling met de volgende nuancering: directie is te allen tijde
eindverantwoordelijk. Een ieder die betrokken is bij het proces van het
verweren van gegevens/informatiee is zowel verantwoordelijk als
aansprakelijk. Ook als je gelegeheid geeft tot bijvoorbeeld(zie Aardbei) het
stelen van een fiets met criminele vervolgacties door diegene die je fiets
heeft meengenomen ben je mede aansprakelijk. Immers jij weet dat je de
fiets op slot moet zetten. We moeten eens af van dat wegkruipen in de
individuele schulp. Ja dat gedogen van je zelf, met je billen bloot dat is pas
sterk ageren.
Dat hebben we met ze allen afgesproken.

eens met Brian!

ok, even nog over de fiets: je bent echt niet aansprakelijk omdat ze JOUW
fiets gebruiken voor criminele vervolgacties! Vind het gewoon absurd dat ik
mijn fiets op slot moet zetten!! als ik het rationeel zou moeten bekijken, dan
he?!

Brian: Als iemand voor zichzelf niet de moeite neemt om zijn eigendommen,
zowel prive als zakelijk, te beveiligen benadeelt hij daar anderen mee. Je
creeert de mogelijkheid om bv een inbraak of verduistering te laten
gebeuren. Als gevolg hiervan zal de eigenaar een beroep doen op de
verzekering, en de politie voor het noodzakelijke onderzoek en het doen van
aangifte.

In het eerste geval zullen de verzekeringsmaatschappijen na verloop van tijd
de premies gaan verhogen, niet alleen voor het individu maar over de gehele
linie. In het tweede geval wordt er capaciteit ontrokken aan het
politieapparaat waardoor ander werk blijft liggen. Hierdoor lijdt de
gemeenschap ook schade. Of je blijft verstoken van de noodzakelijk
politiehulp of er moet meer capaciteit worden ingekocht, wat weer
belastinggeld kost.

Ik ben van mening dat als iedereen verplicht zou worden om zich goed te
beveiligen de kosten voor de gemeenschap aanzienlijk kunnen worden terug
gebracht. En als men niet wel zullen de kosten bij een incident op deze
(rechts)persoon moeten worden verhaald. (inclusief kosten inzet politie ed.)

En nu heb ik het alleen nog maar over inbraak. Maar wat te denken over
persoonlijke veiligheidsaspecten? Het risico om betrokken te raken bij een
overval omdat een bankinstelling of pompstation zijn verantwoording niet
neemt.

Millieurisico's door bijvoorbeeld brand na inbraak. De neveneffecten van een
(grote) brand op naast gelegen bedrijven. De effecten op lange termijn voor
deze bedrijven, toeleveranciers, klanten ed.

De tijd dat de betekenis van mijn en dijn nog bij iedereen bekend was, is
allang vervlogen, daarom ben ik het eens met de stelling. En zoals je kunt
opmaken uit mijn pleidooi gaat de stelling nog niet ver genoeg.