Het concept van informatiebeveiliging binnen een bedrijf
Veiligheid is al sinds mensenheugenis een punt van zorg binnen een bedrijf. Of het nu gaat om 'phishing' of de verschuiving van twin-engine-engines naar de huidige avant-garde antivir-, spywaresoftware, de altijd aanwezige dreiging van virussen heeft ervoor gezorgd dat traditionele controles voor informatiebeveiliging volledig ontoereikend zijn.
Maar hoewel virussen de norm zijn geworden, is de dreiging die ze vormen veranderd. Het zijn nu niet alleen de virussen die een bedreiging vormen, maar ook hackers en andere soorten cybercriminelen die een specifieke bedreiging vormen. Controles die ooit toelaatbaar waren, zoals het verspreiden van vertrouwelijke informatie of het volgen van IP-adressen, zijn niet langer uitvoerbaar in een moderne IT-infrastructuur.
Hoe moeten bedrijven voldoen aan tal van regelgeving op het gebied van informatiebeveiliging? Willen ze echt veel tijd en geld besteden aan het nastreven van de ongrijpbare naleving die belooft het probleem 'op te lossen'? Nee, nee dat doen ze niet. Dit is de reden waarom bedrijven tegenwoordig buiten hun eigen kader kijken om oplossingen te vinden die aan hun behoeften voldoen. En ik veronderstel dat dit zowel bemoedigend als verontrustend is.
Is dit de juiste houding om aan te nemen? Sommigen zouden zeggen dat het naïef is om te denken dat dingen 'ooit zullen veranderen?' Hoewel ik het er misschien mee eens ben dat ons huidige paradigma zeker niet het einde van de uitvinding is (zoals Douglas Hubbard het zou zeggen), zie ik niet in hoe we in de nabije toekomst onder hetzelfde paradigma van de koekjessnijder kunnen blijven leven.
Verandering komt er zeker aan. Maar niet al die verandering is welkom.
Gegevens beschermen door middel van technologie
Beveiliging is altijd de grootste zorg van een bedrijf geweest. De komst van nieuwe technologie luidt een nieuw tijdperk van regulering en toezicht – en misschien zelfs belastingheffing – in voor de digitale wereld.
Hebben we echt nagedacht over alle implicaties van wetgeving en toezicht?
Zijn we voorbereid op de legioenen accountants, advocaten en andere fundamentalisten van het personeelsbestand die volledig op de hoogte moeten zijn van – en zich moeten houden aan – deze wijzigingen in protocol en procedure?
Geven we onze bedrijven (en hun juridische afdelingen) het juiste niveau van training en opleiding?
Vereisen we dat al onze CIO's een bedrijfsperspectief hebben op cyberrisicobeheer?
Hoe wordt de naleving gehandhaafd?
Welke opleiding zal nodig zijn?
EPOS will require new accountability standards for the conduct of business that is defined by management and culture. Will management be held accountable for ensuring that controls are strictly being followed? Or will management simply assert control of the entire operation?
And, perhaps most importantly, what about pride, rights and repercussions? Do we want to encourage a new attitude among employees, whereby compliance is nothing but a means to an end, and consequence is for consequence?
Hoe zullen deze nieuwe polissen worden ontvangen? De EU-richtlijn is precies dat: een richtlijn. Terugtrekken uit de richtlijn is een optie, geen vereiste. En, echt, het is al – want internet is precies dat – een toegangspoort tot de wereld. Zonder verdere regelgeving zal het Wilde Westen van hacking zeker exploderen. En net toen we dachten dat de explosie onder controle was, komt meneer Big Shot Morris om het hele huis op te blazen.
Maar helaas is de EU nog niet klaar om haar beschermende net weg te gooien. Nog niet zo lijkt het. Maar de dag zal komen dat het zal zijn. En dan wordt het afgewezen als een mislukt experiment. Als die dag komt, zullen we ons moeten afvragen: is het beter om een stap voor te zijn of achter te blijven?