Een datalek dichten? Niet alleen een kwestie van ICT (deel 2)

10 oktober 2017 in Blog door

De Winter was altijd werkzaam als journalist, maar tegenwoordig is hij consultant. Hij wordt dan uitgenodigd om iets te vertellen over datalekken, geeft trainingen, maar draaft ook nog wel eens op als het helemaal mis is (denk aan een veiligheidslek). Zijn werkzaamheden komen neer op het laten zien aan bedrijven en overheden dat beveiliging méér is dan een paar firewalls installeren of een andere technische maatregel. ”Je moet bedrijfsprocessen blootleggen omdat dát uiteindelijk de kroonjuwelen zijn die je probeert te beschermen. Dat moet je vertrekpunt zijn bij het nemen van structurele maatregelen tegen datalekken.”

Eerst analyseren dan tactiek bepalen
Na het blootleggen en analyseren van de bedrijfsprocessen maak je een risico-inschatting waarmee je aan de slag gaat. De Winter vindt dat de techniek daarbij niet het belangrijkste aspect is. Het gaat om de organisatorische maatregelen die op de lange termijn voor verbeteringen gaan zorgen. “Je hebt bepaalde bedrijfsdoelen vastgesteld en pas daarna ga je ze uitvoeren; de tactiek bepalen.” Focus dus niet alleen op het instaleren van een antivirus scan. Een oplossing kan ook zijn dat je minder mensen toegang moet verlenen tot een bepaalt systeem. Daarom is het in de ogen van De Winter ook zo belangrijk dat het veiligheidsaspect tot op het allerhoogste niveau van een organisatie wordt onderkend. “Laatst overlegde ik met een organisatie, waarbij de directie het probleem niet erkende. Toen hebben we snel afscheid van elkaar genomen. Je kunt een beveiligingsprobleem namelijk niet oplossen door simpelweg tegen de systeembeheerder te zeggen: los het probleem even snel op.”

Leer hoe mensen zichzelf moeten redden
De Winter heeft duidelijke ideeën over zijn rol als consultant bij het analyseren van datalekken. “Je moet stimuleren om mensen het zelf te laten doen. Een beetje zoals dat in de hulpverlening gebeurt. Hier leren mensen hoe ze zichzelf moeten redden. Kijk, mijn verhaal houdt op een gegeven moment op. Ik leg bijvoorbeeld vaak een meetlat neer waarmee organisaties zelf aan de slag kunnen. En dan kom ik een jaar later terug om te kijken of er progressie in zit.” De Winter vindt ook dat je als consultant niet in de uitvoering moet gaan zitten; het gaat om het geven van strategische advies over de bedrijven die je kan inschakelen. “Daarom gaat die metafoor van de Titanic ook zo goed op; voor het maken van de schroef heb je een ander bedrijf nodig dan voor de verlichting. Dat moet ergens bij elkaar komen.”

Stappen om datalekken tegen te gaan
Kijkend naar bovenstaande stukken dan pleit Brenno de Winter voor de volgende stappen om datalekken tegen te gaan:
1. Leer van fouten door datalekken openbaar te maken;
2. Kijk goed naar bedrijfsprocessen en analyseer waar de kwetsbaarheid zit voor datalekken;
3. Bepaal vervolgens hoe groot de veiligheidsrisico’s zijn voor de betreffende datalekken;
4. Neem daarbij technische en organisatorische maatregelen ter voorkoming van datalekken;
5. En tot slot; voer maatregelen door in de gehele bedrijfscultuur.

Bas Hakker schrijft blogs voor Infoland die gaan over thema’s zoals risicomanagement, innovatie, ondernemen etc. Zijn kracht: een groot netwerk en een vlotte pen.
© Infoland B.V. 1998-2017