Het Security team van inspearit hanteert als motto “Sturen op vertrouwen, bouwen aan vertrouwen”. Die nadruk op vertrouwen, dat klinkt vreemd voor een team dat zich met security bezig houdt. Geldt op dat terrein juist niet de uitspraak van de Russische leider Lenin, uit 1921: “Vertrouwen is goed, controle is beter”? Wij denken van niet! Of, beter gezegd, wij brengen de juiste nuance aan in deze uitspraak. In een vijftal blogs leggen we uit waarom en hoe.
In deze blog beschrijft Eric Nieuwland hoe informatiebeveiligers zijn lastige zeurkousen kunnen zijn: “Ze zeggen ‘nee’ voor ze begrijpen wat je wilt en zadelen je op met een logheid waarbij een mammoettanker op een gazelle lijkt. En dat is lang niet altijd nodig.”
Projectleiders, ontwikkelaars en beheerders. Ze kunnen het soms hartgrondig oneens zijn. Maar er is regelmatig iets dat de rijen sluit, dat verbroedert en verbindt: de informatiebeveiliger. Voor velen een plaag, al was het maar omdat het nooit goed genoeg is.
‘Security says NO’-syndroom
Na een degelijke risicoanalyse trekt de doorgewinterde informatiebeveiliger een arsenaal maatregelen open. Allemaal belangrijk en nuttig. Maar waarvoor ook al weer? In (te) veel gevallen om zelfs het kleinste incident al in de kiem de smoren, liefst volledig te voorkomen. En dat is niet zo gek, want veel organisaties zijn volstrekt avers van incidenten, hoe onbenullig ook. Dus heeft de informatiebeveiliger zich reflexen aangeleerd om de kans op incidenten tot een minimum te beperken.
De maatregelen die daaruit volgen kunnen zo verlammend zijn, dat elke mogelijkheid tot verandering en vernieuwing onmogelijk wordt. Het beruchte ‘security says NO’-syndroom. Misschien is dit wel een grotere dreiging voor een organisatie dan het gebrek aan een adequate beveiliging.
Aan de achterkant beginnen
En dat terwijl in veel gevallen de vraag eigenlijk niet is “hoe voorkomen we dit?”, maar “hoe gaan we daarna verder?” Dus niet zozeer een vraag naar preventie maar naar continuïteit door correctie. Maar voor informatiebeveiligers is correctie vaak zo ongeveer het laatste redmiddel. Wanneer al het andere gefaald heeft zit er niets anders op dan de boel de herstellen. Daarom worden correctieve maatregelen vaak als laatste bedacht.
En wat blijkt? Door juist aan de achterkant te beginnen hoeven we ons aan de voorkant minder zorgen te maken.
Een voorbeeld: Organisatie X maakt zich zorgen om haar rekencentrum. Om uitval te voorkomen is alles dubbel uitgevoerd over twee locaties. Een prijzige maatregel. Nu blijkt bij doorvragen dat uitval op zich vervelend, maar niet onoverkomelijk is. Men is vooral beducht voor definitief kwijtraken van de data. Met dit gegeven kan een veel eenvoudiger oplossing bedacht worden: een goede back-up en een goed geoefende herbouw/-inrichting op een uitwijklocatie. Dus de uitval niet voorkomen, maar binnen enkele dagen weer aan de slag kunnen. En in de tussentijd een goede tijdelijke werkwijze hanteren.
Wat levert het op? Ten eerste: minder kosten. Daar staat tegenover dat je andere dingen geregeld moet hebben, dus die winst is mogelijk beperkt. Maar je kunt ineens andere maatregelen minder sterk aanzetten, misschien zelfs achterwege laten, omdat je een snelle en bewezen herstelprocedure hebt. En dat betekent: minder kosten, minder beheerlast.
Misschien durf je het ineens zelfs aan iets nieuws te proberen, te experimenteren. Want je weet: we kunnen terug.
Just Enough Security
Denk dus eens achterstevoren. Het levert soms verrassende inzichten op, waardoor je ziet wat echt nodig is en wat vooral door angst wordt ingegeven. Het levert je iets op dat we bij inspearit ‘Just Enough Security’ noemen: de maatregelen die echt nodig zijn om verder te kunnen, ook wanneer het mis is gegaan.
Met ‘Just Enough Security’ bouwt een security officer aan vertrouwen: bij technici dat hij geen over-de-top maatregelen vraagt, bij management dat hij alleen vraagt wat echt nodig is. En daarmee creëert hij draagvlak.
Met ‘Just Enough Security’ stuurt een organisatie op vertrouwen: het vertrouwen dat er een adequaat werkend vangnet is, dat rampen voorkomt maar bewegingsvrijheid laat.
Accepteer incidenten
Mocht u dit ook willen proberen, dan heb ik nog wel een tip. Accepteer incidenten, omarm ze. Hoe uw organisatie ze verwerkt zegt uiteindelijk meer over de daadwerkelijke beveiliging dan wanneer er niets zou gebeuren.
Eric Nieuwland werkt aan hoogwaardige informatiesystemen. Systemen die doen waarvoor ze bedoeld zijn. Nu en morgen. Veilig en betrouwbaar. Hij werkt voor organisaties die deze systemen nodig hebben. Die begrijpen dat techniek niet alles kan oplossen. Organisaties die het beste uit zichzelf en hun IT willen halen.