Doe uw bedrijfstop een veiligheidsbeleid slikken
Wie is in uw bedrijf de hoogst geplaatste persoon die zich met gegevensbeveiliging bezighoudt? De algemene directeur, de raad van bestuur of het management team? Allicht niet. De kans is groot dat enkel de IT-manager zich ermee bezighoudt.
De beveiliging van bedrijfsgegevens overlaten aan de IT is vragen om problemen. Eerst en vooral laat u de beslissing over risicobereidheid van heel het bedrijf over aan de IT’ers. Zij bepalen wat de kans is dat gegevens op straat komen te liggen en ze doen dat niet vanuit een zakelijk standpunt, maar vanuit technische overwegingen. Als ze beslissen om heel de boel dicht te timmeren, heeft dat ook als gevolg dat de grote baas met zijn iPad niet aan vergaderingsnotulen kan.
We halen de bevindingen uit het Business Meets IT-seminarie, dat Smart Business organiseerde rond security. “Eigenlijk moet er binnen een organisatie op het hoogste niveau nagedacht worden over IT-beveiliging”, oordeelt Steven De Haes, professor aan de Universiteit Antwerpen en de Antwerpen Management School. De meeste bedrijven zijn in heel hun werking immers volledig afhankelijk van de IT. Als de informatica het laat afweten, ligt heel het bedrijf plat. En toch wordt er in de raden van bestuur amper nagedacht over IT. Als de bestuurders al over IT praten, is dat vaak enkel om voor zichzelf een iPad te regelen.
[related_article id=”161920″]
“Ook in managementopleidingen zien we tegenwoordig dat het vak IT uit het curriculum verdwijnt,” zegt De Haes. “Mensen hebben liever een cursus die ze opwindend vinden zoals marketing of coaching.”
Meer dan een kostenpost
Toch is het niet evident om managers en bestuurders te overtuigen van beveiliging. Vaak wordt het budget voor IT-beveiliging op een negatieve manier verantwoord. De redenering gaat uit van de vraag “hoeveel zou het kosten als het misloopt?”.
Bij de Macintosh Retail Group, moederbedrijf van Brantano, is de opbrengst van beveiliging duidelijk. Daar is security synoniem met beschikbaarheid. Liggen de systemen eruit, dan wordt er die dag gewoon niets verkocht. En dus staat beveiliging hoog op het prioriteitenlijstje.
Niet overal is de kost van een gebrek aan beveiliging even duidelijk. Het hoofd veiligheid van beveiligingsbedrijf Websense adviseert security-beheerders om een gecontroleerde aanval op de inbox van de baas uit te voeren, zodat hij eindelijk inziet dat betere beveiliging een goed idee kan zijn.
Volgens Websense zou het stelen van persoonlijke informatie of het ontfutselen van de creditcardgegevens een ontnuchterend effect hebben op de lakse manager die geen extra geld wil steken in betere security. Dat zou de beveiliger van dienst moeten helpen om een ‘zinvoller gesprek’ te hebben, wanneer het securitybudget ter sprake komt.
Er is maar één probleem als uw enige verantwoording de kost van een rampzalig alternatief is. U schildert veiligheid immers af als loutere kostenpost. Geen ideale manier om managers en bestuurders gewonnen te krijgen voor het belang van IT-beveiliging.
Een betere aanpak is volgens professor Steven De Haes om extra waarde te creëren en die business case te gaan verkopen. Zo is het een goed idee om een project voor te stellen waarmee verkopers op de baan via hun iPad aan klantgegevens kunnen en meteen orders kunnen ingeven. Dat levert effectief een meerverkoop op, waardoor het management al snel gewonnen zal zijn. De belangrijkste voorwaarde om het project te realiseren is dat de gegevens altijd beveiligd blijven. Ook daarvan zal de bedrijfsleiding wel overtuigd zijn.
Beveiliging zou eigenlijk geen laag bovenop alle IT-systemen mogen zijn. Het moet ingebakken zijn, niet alleen in de IT, maar in de hele bedrijfsvoering, voor zover ze met informatie handelt. Degelijke beveiliging kan mogelijkheden openen die ook voor de zakelijke kant van het verhaal een meerwaarde hebben.
Devices
We zien sinds kort een opkomst van nieuwe mobiele toestellen. Ze openen een wereld van mogelijkheden: uw kenniswerkers kunnen overal werken. Nadeel: uw bedrijfsgegevens kunnen ook overal zitten waar u het liever niet hebt en de toestellen zijn ook heel gemakkelijk mee te ritsen door mensen met een meer dan gezonde interesse in uw bedrijfsgegevens.
De internationale medische groep Arseus laat de mensen toe om hun eigen iPad mee te nemen naar het werk en hem ook te gebruiken. Maar IT Solutions Manager Dimitri Lambrecht hanteert strenge regels: “Toestellen moeten altijd een beveiligde verbinding hebben naar een van onze datacenters, ze moeten alles geëncrypteerd opslaan en bij diefstal, verlies of overtreden van de gebruiksvoorwaarden wordt het toestel volledig gewist. Ook de privégegevens die erop staan.”
De cloud hangt samen met mobiele toestellen, want ook deze technologie laat toe om ver buiten de muren van het bedrijf aan gegevens te komen van de onderneming. Maar ook hier bestaat het gevaar dat bedrijfsinformatie in verkeerde handen terecht komt.
De beveiliging van cloud-diensten kunt u als een stap terug beschouwen. “We zijn al twintig jaar tweefactorauthenticatie aan het verkondigen bij onze bazen en opeens duiken er cloud-diensten op die zo’n tweevoudige aanmeldprocedure niet ondersteunen. Die kan je dus niet gebruiken als je je geloofwaardigheid wilt behouden”, zegt Tom Decaluwé van de Macintosch Retail Group.
Tweefactorauthenticatie is een aanmeldprocedure waarbij u minstens twee manieren hebt om uzelf kenbaar te maken. Vaak is dat een wachtwoord en een voorwerp dat u in uw bezit hebt, zoals een gsm.
Ook de webshop Condoom-anoniem maakt gebruik van zo’n tweefactorauthenticatie, maar oprichter Richard Spooren wilde heel de aanmeldprocedure wel eenvoudig houden. Hij koos voor een app die een QR-code op een website inleest. Op die manier wordt de authenticatie via de telefoon toch een stuk vereenvoudigd.
Aanmelden via biometrische gegevens zou ook kunnen, maar dat is volgens Richard Spooren geen goed idee. “Een vingerafdruk wordt gedigitaliseerd en wordt dus een combinatie van enen en nullen. Eens die combinatie gekraakt wordt, kan ze door criminelen gebruikt worden om in te loggen. En een vingerafdruk of de iris van je oog verander je zomaar niet. Biometrische gegevens zijn dus een slecht wachtwoord. En wachtwoorden zijn als condooms: je gebruikt ze best maar één keer.”
De gemakkelijke managementkeuzes
Idealiter beschouwen het management en het bestuur de beveiliging als essentieel onderdeel van alle operaties. Toch is de kans groot dat u niet gezegend bent met een bedrijfsleiding die zo begaan is met IT. In dat geval zal u alle beveiligingsmaatregelen die u wilt treffen in bevattelijke taal moeten uitleggen.
Bij Macintosh hebben ze een kleurencode gemaakt van drie categorieën veiligheidsniveaus. De verschillende soorten informatie van het bedrijf werden verdeeld over die drie lagen. De maatstaf waren vragen als “hoe erg is het als deze informatie in handen komt van het grote publiek of van de concurrenten?”. De IT-afdeling koppelde daar dan een geschikt niveau van beveiliging aan vast.
In het begin werd alle info op het allerhoogste beveiligingsniveau ingeschakeld. Maar managers wilden nog graag thuis hun mails beantwoorden en dat lukte niet op het hoogste niveau. En dus zijn na verloop van tijd de regels wat versoepeld, in het volle besef dat daarmee ook het risico vergrootte.
Als voor u de ideale situatie van een begripvol bedrijfsbeheer niet geldt, zal de pragmatiek moeten regeren. U zult zelf de best practices moeten toepassen en gewoon de beveiliging moeten binnenloodsen die u kunt, via verdedigbare projecten.
Voor onze andere (gratis) seminaries in de Business Meets IT-seminariereeks, neem gerust een kijkje op: www.businessmeetsit.be