Hoe kies je de juiste beveiligingsmaatregel

Er valt veel te kiezen in beveiligingsmaatregelen. De vraag blijft wat nu de slimste keuze is om risico’s in de hand te houden. Met simpel boerenverstand komt een organisatie een heel eind.

In eerder blog werd al duidelijk dat een zinvolle maatregel soms technisch, soms in gedrag en soms in de manier waarop een organisatie werkt zit. Met goed inzicht in de risico’s zijn er vaak meerdere wegen die naar Rome leiden. Welke is dan de verstandigste?

Efficiënt werken

De basisregel is dat gekozen wordt voor de oplossing die met de kleinste investering in geld en mankracht het beste resultaat levert. Want iedere euro of ieder uur dat minder hoeft te worden geïnvesteerd, blijft over voor het afdichten van andere risico’s. Efficiënt werken is dan ook het sleutelwoord. Sommige maatregelen beteugelen meteen meerdere gevaren en leveren daarmee meer op dan het risico dat toevallig bovenaan het lijstje staan.

Met bijvoorbeeld goede logging van gebeurtenissen op systemen en het netwerk zijn aanvallen te detecteren. Maar diezelfde maatregel helpt ook bij onderzoek wanneer het toch verkeerd mocht gaan. Veel antivirussoftware detecteert een infectie, maar kan ook alarmeren bij het bezoeken van gevaarlijke websites na het klikken op een phishingmail en waarschuwen ook nog bij verouderde software. Wat verder kijken kan dus lonen.

Personeel dat training heeft gehad rond beveiliging zal bewuster functioneren. Zo ontdekken ze sneller verdacht gedrag, terwijl ze ondertussen tevens voorzichtiger optreden. Met de juiste sfeer zal het alarm slaan – als er iets misgaat – minder een drempel vormen. Bij zo’n opleiding kunnen ook de bedrijfsregels nog eens goed onder de aandacht worden gebracht.

Echte antwoorden

Kijk bij de maatregelen ook of ze echt een (gedeeltelijk) antwoord geven op het gestelde probleem. Nog altijd denken veel mensen dat een firewall een organisatie veilig maakt, maar als de dreiging zit in cryptolocker dan is het zinvoller te kijken naar hoe die allemaal in de organisatie kan komen. Een firewall blijkt dan opeens slechts in een beperkt aantal gevallen een echte oplossing te bieden.

Heeft een organisatie gevoelige gegevens, dan moet misschien verder worden gekeken dan de standaard-oplossingen. Voor die specifieke gegevens moet een apart plan worden gemaakt, waarbij vragen centraal staan als: hoe reizen deze gegevens door de organisatie? Wie kan bij die data komen en is dat echt nodig? Is het mogelijk dit soort informatie apart te zetten in een bijzonder beveiligde omgeving?

De truc zit erin het probleem goed onder woorden te brengen en dan eerlijk af te vragen of de voorgestelde maatregel echt helpt bij het beperken van de risico’s. Is dat niet of niet voldoende het geval dan moet er verder worden gezocht.

De waarom-vraag

Beveiligen is ook het kritisch durven stellen van vragen naar het waarom van zaken. ‘Waarom hebben we deze gegevens nodig?’, ‘waarom doen we het werk op een bepaalde manier?’ of ‘waarom hebben we ooit een bepaalde inrichting gekozen?’, zijn vragen die dan gesteld kunnen worden. Dat is soms lastig om te beantwoorden, omdat veel gewoontes in een organisatie sluipen zonder dat goed genoeg is gekeken of dat wel de juiste benadering is.

Pas als de organisatie kritisch naar zichzelf durft te kijken, komt er zicht op zinvolle maatregelen om de beveiliging te verbeteren. Dat is weliswaar ongemakkelijk, omdat het vaak ook een verandering in de manier van werken brengt. Dat is niet altijd leuk. Het is wel noodzakelijk. Een aanvaller zal weinig respect opbrengen voor goede bedoelingen of niet effectieve maatregelen. Die kijkt alleen naar mogelijkheden om misbruik te maken.

Goede informatiebeveiliging vereist dan ook goede kennis van de eigen organisatie en de bedrijfsprocessen. Vanuit die kennis en het begrip van de risico’s is het mogelijk de juiste maatregelen te kiezen: efficiënt, to-the-point en vooral kritisch op wat misschien anders kan. Pas dan heeft beveiligen zin, omdat klakkeloos ‘maar wat doen’ kapitaalvernietiging is.

Dit blog verscheen eerder op I Feel Secure.