CIO Round Table: voorbij de firewall

20-06-2017 | door: Pieter Werner

CIO Round Table: voorbij de firewall

Security blijft een thema waar veel vragen over zijn. Daarom vond er dit voorjaar wederom een Executive People CIO Round Table plaats over dit onderwerp, georganiseerd in samenwerking met CIONET en Level 3. Het leverde een enerverende discussie op over een breed scala aan security-gerelateerde onderwerpen, van GDPR tot cybercrime.

GDPR kwam al in de eerste minuten van de discussie aan bod. Een van de deelnemende CIO’s  gaf aan dat het een grote vraag was voor zijn organisatie wat de nieuwe wetgeving zou gaan betekenen. “Kun je nog zaken in de cloud plaatsen zonder dat de Amerikanen erbij kunnen? En over de gevolgen van de wet meldplicht datalekken zijn nog steeds veel vraagtekens.” Hij gaf aan, dat dit veel verder gaat dan alleen het technische aspect van de cloud: “Security gaat verder dan de firewall, het is vooral ook tactisch en strategisch.”

Een aanwezige security-expert van de Nederlandse overheid wees in dat verband op de onlangs van overheidswege verschenen Handreiking Zorgplicht. Daarin staat onder meer een handige checklist. Deze is te vinden op de site van de Securityraad. Zorgplicht komt nog voor de meldplicht en is belangrijk in het voortraject. “Je kunt wel inzetten op aansprakelijkheid, maar dan is het kwaad al geschied. ”Een van de zaken waar de overheid zich nu mee bezighoudt, in het vervolg hierop, is de consequentie van IoT op strategisch niveau.

Andere opvatting

Ook internationale cultuurverschillen kunnen een rol spelen bij de manier waarop security wordt aangepakt in een organisatie. Een CIO, die werkzaam is in de Nederlandse vestiging van een Oosters bedrijf, merkt op dat ze daar een heel andere opvatting hebben over security dan in het Westen.

“In het Oosten zijn ze sterk incidentgedreven, wat leidt tot een nogal reactieve benadering van security. Dat heeft duidelijk een paar grote nadelen. Zo hebben we door een veiligheidsincident, dat pas achteraf werd aangepakt, twee weken niet kunnen leveren. De preventieve aanpak is daarbij weer erg rigide, bijvoorbeeld met het letterlijk dichtkitten van USB-poorten op computers. Het is niet zo gericht op de risico’s als volgens mij zou moeten.”

Hackers

Ronald Prins, directeur van FOX IT, was eveneens aangeschoven. Hij ging in op de internationale dimensie van cybercrime. “Waar fysiek de spullen staan maakt voor hackers niet uit.” In de discussie over wel of niet gebruik maken van Chinese hardware zei hij: “Hackers komen net zo goed door Amerikaanse switches heen, als door Chinese apparatuur.”

De internationale dimensie was vrij lang onderwerp van gesprek. Een CIO die werkte bij een van oorsprong Duitse organisatie had in praktijk veel last van de strenge regels, die met name op het gebied van privacy gelden in Duitsland. Hij probeerde daar pragmatisch mee om te gaan. “Als ik me op het gebied van security overal aan zou houden kon ik het bedrijf wel sluiten.” 

Kwade wil

De discussie kwam hiermee op tegenwerking vanuit de organisatie. Veel CIO’s merken dat andere executives soms met ideeën komen die haaks staan op een veilig IT-beleid. Een van de deelnemers nuanceerde dit wel: “Het is vaak geen kwade wil, maar gebrek aan kennis, Bijvoorbeeld bij mensen die uit de financiële hoek komen, en daarom niet voldoende verstand hebben van IT.”

Dit leidde gelijk een van de stellingen van die avond in: ‘Zijn we aan het vertrutten? Is alles niet teveel dichtgetimmerd?’ Dat de IT teveel dichtgetimmerd zou zijn herkenden de deelnemers niet, dat de neiging tot vertrutten wel degelijk bestaat des te meer. “De IT is juist helemaal niet dichtgetimmerd. Er worden weliswaar veel maatregelen genomen, maar die werken niet, ze zijn vooral overdreven. Vergelijk het met vliegen, als je goed kijkt naar de veiligheidsmaatregelen die daar gelden zit er veel onzin bij.”

Effect

Een ander voegt daaraan toe: “Wanneer je meer situationeel werkt kun je mensen duidelijk maken waarom bepaalde maatregelen worden genomen. Het is dus zaak om maatregelen te nemen waarvan iedereen snapt dat er effect mee wordt gecreëerd.” Daarmee komt ook de boardroom weer in beeld: “Het is absoluut een verhaal van de boardroom. Niet van de IT. Dat kan niet meer, dat moet stoppen. Hoe je het verder regelt moet je per geval bekijken, maar dat moet altijd komen vanuit de board.”

Een van de zaken waar de board voor moet zorgen is voldoende middelen om te zorgen voor security. En dat is vaak meer dan ze in eerste instantie denken. Een van de deelnemende CIO’s zegt daarover: “Tien procent van je ICT-budget moet naar cybersecurity gaan.” Dat heeft bredere implicaties dan alleen de eigen organisatie, zegt de vertegenwoordiger van de overheid: “Een van de dilemma’s op het gebied van ICT waar we mee te maken hebben is hoe om te gaan met de toekomst, met de volgende generatie.”

Welvarend

“Cybersecurity is geen doel, maar een middel. Je wilt als land welvarend blijven, Als je geen vuist maakt tegen bijvoorbeeld IP-diefstal, verlies je als land je welvaart. Dat is het nieuwe tijdperk waar we nu middenin zitten. Het vraagt erom dat je snel verandert. Maar in praktijk gaat het ongelooflijk langzaam. Daar lig ik echt van wakker, want de cybercriminelen gaan juist wel ontzettend snel. Zij zijn in staat gewoon cybercrime as-a-service te kopen en komen vervolgens met de meest geavanceerde aanvallen.”

Dat is een taak van zowel overheid als bedrijfsleven. “Tachtig procent van de internetinfrastructuur is in handen van private bedrijven. Dat kan de overheid nooit volledig reguleren.” Een kanttekening is wel dat er bij cybercriminaliteit een redelijke pakkans zou moeten zijn. “Nu wijst de overheid nog teveel op private instanties, door te zeggen ‘regel het maar, houd ze maar buiten de deur’. Dat werkt dus niet, want in praktijk is iemand van achttien in staat om KPN te hacken. Het gaat om pakkans. De rol die de overheid in het fysieke domein heeft en die we allemaal kennen, heeft te maken met de pakkans. We kunnen allemaal inbreken in een huis, maar dat doen we niet.”

Door: Pieter Werner

Terug naar nieuws overzicht

Tags

Security
Security