Interview Glenn Schoen, G4S: ‘Denk integraal over veiligheid’
ICT-beveiliging kan beter. En dan niet alleen op het veelbesproken deelgebied van de databeveiliging, maar vooral door een integrale aanpak waar werkelijk àlle aspecten van safety en security aan bod komen. Want door het enorme belang van ICT zijn de virtuele wereld en de fysieke wereld meer dan ooit met elkaar verweven. Dit weerspiegelt zich echter nog niet in de manier waarop de meeste organisaties daarmee omgaan.
Security en safety zijn onlosmakelijk verbonden met ICT. Aan de ene kant hebben beide functionaliteiten IT nodig om goed te functioneren. Dus wanneer de ICT niet goed werkt, kunnen die twee ook niet goed functioneren. Aan de andere kant hebben zowel security als safety de taak om met IT samen te werken in het beveiligen van bedrijfsprocessen. Glenn Schoen, executive advisor bij G4S: “Wanneer je verder ingaat op het beveiligen van die bedrijfsprocessen dan zie je dat IT in toenemende mate dominant wordt in het ondersteunen van bedrijfsprocessen. Het is zelfs zo dat je als organisatie niet meer zonder IT kunt, het zit door al je core processen heen.”
Hij constateert dat de fysieke component vaak wordt overgeslagen in de bijdrage die securiyty en safety leveren. “Dat zie je ook in standaarden. ICT-beveiliging gaat aan de ene kant om beveiliging van dataverkeer, maar er is ook sprake van ruimtes die beveiligd moeten worden, zoals serverparken en cruciale kabels. De toegang tot ICT-hardware waarmee je de software kunt bereiken heeft alles met security te maken. Dat is fysiek, je moet nadenken over toegang en poortjes.”
Het tweede aspect is de factor mens. Wie heeft toegang tot die ICT? “Dat zijn diverse mensen, van eigen medewerkers en contractors tot klanten en bezoekers. Bij alle zaken die echt fout gaan op ICT-gebied zijn er weinig waar ICT zelf het probleem is. Het zijn voornamelijk mensen die foute dingen doen. Dus moet je ook als ICT nadenken over het voorkomen dat mensen foute dingen doen.”
Misbruik van ICT
Dat onderdeel wordt meestal aangepakt vanuit de optiek dat iemand digitaal probeert om schade toe te brengen, dus de dreiging op afstand. Het interessante is echter dat heel veel problematiek weliswaar met informatie te maken heeft, maar in veel gevallen gaat het om misbruik maken van ICT. Niet om het te beschadigen, maar wel om IT te omzeilen, zoals mensen die porno op de server opslaan of frauduleuze mandelingen verrichten. Schoen: “Zij maken misbruik van ICT zonder dat ze het plat proberen te leggen. ICT-beveiliging is echter vaak gewricht op beveiligen van de data zelf, en het platleggen van de ICT. Maar in praktijk gaat het bij fraude en imago-schade in de eerste plaats om misbruik.”
“Dit betekent dat je integraal moet nadenken over veiligheid. Dus niet alleen over toegang tot systemen en accreditatie, maar ook wie er fysiek toegang heeft, en hoe zoveel mogelijk de factor mens als risico is meegenomen, bijvoorbeeld door awareness trainingen in te voeren. En door naar contracten te kijken, en de eisen die aan contractors worden gesteld, bijvoorbeeld het werken met gecertificeerde mensen. Awareness, screening en accreditatie vinden nu vaak plaats zonder dat de fysieke security is gekoppeld aan de ICT-security. Daar zit een leemte.”
Die situatie wordt verergerd door het feit dat ICT-beveiliging hoger in het bedrijf zit dan fysieke beveiliging. “Natuurlijk is het belangrijk en waardevol dat alles op ICT gebied goed wordt geborgd, maar we zien dat fysieke beveiliging, die van cruciaal belang is, minder op niveau erbij wordt betrokken. Per definitie zou dit dus op het hoogste niveau moeten spelen, maar in praktijk komen we dat niet zo tegen. Beveiliging is een proces dat over meer dan één as loopt. Om te beveiligen tegen alle risico´s moet je kijken naar ICT, ook fysiek, en de factor mens. De laatste twee factoren, mens en fysieke beveiliging, worden vaak te zwak meegenomen.”
Zorgen
Bij bepaalde typen bedrijven, zoals banken, is het normaal dat de balans naar ICT toe gaat. Het gaat er niet om dat het minder dominant wordt, maar het is zaak ervoor te zorgen dat die andere aspecten ook op het juiste niveau afgedekt zijn. Het wordt steeds belangrijker voor alle betrokkenen om hier een heldere visie op te hebben, omdat ICT voor organisaties steeds belangrijker wordt. “Opvallend is dat in bepaalde industrieën vaak gesproken wordt over het vervangen van beveiligers door een systeem. Een camerasysteem neemt het werk van een beveiliger over om kosten te besparen. Maar wat je moet nagaan is wat er gebeurt wanneer het schermpje uitgaat. Hoe groot is dan de risk exposure?”
“De fysieke wereld en de ICT-beveiligingswereld kijken met enige zorgen naar cloud computing. Wanneer je nadenkt over het concept van de cloud, en het verschuiven van de risico’s, zitten daar weer fysieke en menselijke componenten aan, net zoals die er waren in je eigen organisatie. Weet je bij het bedrijf waar je in de cloud gaat hangen of ze weten wie er bij kunnen, welke bevoegdheden hun contractors hebben, en hoe de eigen mensen zijn gescreend? Vaak is de gedachte dat zit wel goed, maar het is wel een punt van zorg.”
“Wat me ook opvalt is dat bij veel crisismanagement oefeningen en continuity management blijkt dat de beoogde back up oplossing bijna nooit even goed werkt als gepland. Er is wel een server, of er is iets geregeld in de cloud. Maar in praktijk werkt het vaak net iets minder goed. En een van de verborgen kosten die je tegenkomt als er wat misgaat, zit in het gegeven dat het management op een bepaald niveau ingeschakeld moet worden. Vaak wordt wel gekeken naar letterlijke schade, en schade aan imago en processen. Wat wordt onderschat, is hoeveel managementuren het vergt om een incident effectief aan te pakken. Vaak blijkt er een lang staartje in te zitten van managementbetrokkenheid.”
