Bij schijnveiligheid is er een schijn van veiligheid maar bestaat deze niet in het echt of kan deze niet worden waargemaakt. Hierdoor worden kwetsbaarheden niet altijd gezien en adequaat opgelost. Deze kwetsbaarheden leiden tot datalekken en uitbuiting door criminelen. Ook loopt de organisatie nog altijd een groot risico op boetes en schades.
Informatiebeveiliging lijkt vaak onoverzichtelijk, complex, veel. Allerlei experts hebben een mening. Juristen, informatiebeveiligingsexperts, cyber security experts, IT, HR… Iedereen vindt wat maar waar is het samenhangende geheel dat nodig is om te komen tot echte veiligheid?
In dit blog zetten we zes invalshoeken van schijnveiligheid op een rij en hoe u ervoor zorgt dat uw organisatie daadwerkelijk zo veilig als mogelijk is en dat iedereen daar gezamenlijk aan werkt in plaats van op hun eigen eilandje van expertise.
1. Beleid en contracten dekken aansprakelijkheid af maar garanderen geen echte veiligheid
Bij contracten en overeenkomsten ligt de nadruk op geheimhouding en vertrouwelijkheid van interne bedrijfsgegevens en/of het leveren van diensten en wordt de aansprakelijkheid gedekt op het moment dat één van de partijen zich niet aan het contract houdt.
In een contract of overeenkomst wordt vaak gevraagd om te voldoen aan de ISO-norm - zie ook punt 2 - maar het afdekken van aansprakelijkheid is natuurlijk een heel ander uitgangspunt dan het garanderen van veiligheid. Er is dan ook meer nodig dan alleen beleid of contracten.
2. Organisaties zijn gecertificeerd maar vooral op papier. Echte grip op veiligheid ontbreekt nog
Veel organisaties zijn gecertificeerd tegen ISO27001, één van de meest gebruikte internationale richtlijnen om controle te krijgen op informatiebeveiliging. Hoewel dit niet verplicht is, wordt het voldoen aan de ISO-norm vaak gevraagd, bijvoorbeeld om in te kunnen schrijven op (Europese) aanbestedingen en tenders.
Als gevolg hiervan wordt ISO27001 vaak geïmplementeerd als doel op zich terwijl het echte doel de beveiliging van informatie hoort te zijn. Als dit uit het oog wordt verloren, leidt dat vaak tot een administratieve bureaucratie. Ook worden maatregelen vaak afzonderlijk geïmplementeerd en zijn deze vaak voornamelijk op IT gericht terwijl informatiebeveiliging de hele organisatie raakt.
Cybercriminelen geven niet om procedures of certificeringen. Ze zoeken gewoon naar uw kwetsbaarheden en als ze er een vinden, buiten ze die uit.
3. Veilig werken is moeilijk. Onder werkdruk houdt de macht der gewoonte stand
Gewoontes en beperkte software mogelijkheden leiden tot veel informatie in slecht beveiligde Excelsheets. Toegang tot de sheets wordt niet beheerd, data wordt onbewust onveilig gedeeld en nooit meer verwijderd.
Bij informatiebeveiliging denkt men vaak alleen aan IT of iets wat wel belangrijk is maar waar men door de dagelijkse werkzaamheden niet aan toekomt. Cybercriminaliteit is helaas geen ver-van-uw-bed show; 75% van de grote organisaties en meer dan de helft van het MKB hebben hier jaarlijks mee te maken.
4. Bureaucratie en administratie om het vastleggen op zich garanderen geen echte veiligheid
Als ISO27001 wordt geïmplementeerd als doel op zich - in plaats van het inrichten van processen om grip te krijgen op de informatiebeveiliging - leidt dit vaak tot niet concrete beleidsdocumenten, lange en moeilijke checklists en een hoge administratieve last zonder een duidelijke link naar de realiteit van het beveiligen van data, systemen en de organisatie. De focus ligt dan te sterk op certificering en minder op de werkelijke beveiliging.
Als processen ingewikkeld en complex zijn, veel (onnodig) werk met zich meebrengen en te veel afstaan van de dagelijkse praktijk, worden ze vaak als noodzakelijk kwaad beschouwd in plaats van een integraal onderdeel van de werkzaamheden. Het lijkt dan veilig op papier maar in werkelijkheid is deze veiligheid er niet.
5. Onveilig gebruik van veilige middelen leidt nog altijd tot onveilige situaties. Bewust maar nog niet bekwaam
De hoge werkdruk op de IT-afdeling leidt tot rommelige en niet goed uitgevoerde IT-processen. Dit leidt bijvoorbeeld tot achterlopen met security updates, gedeelde admin accounts of data dumps die op servers blijven staan.
Ook is de kennis van systemen aan de gebruikerskant vaak beperkt wat - met name als er met meer systemen wordt gewerkt - onveilig gebruik hiervan in de hand kan werken.
6. Grote hoeveelheden e-mails, papieren en digitale documenten zijn nog altijd een probleem
Door slecht (samen)werkende systemen worden afdelingen gedwongen om processen in overvolle algemene mailboxen te managen. De toegang hiertoe wordt niet beheerd en data wordt onbewust onveilig gedeeld en nooit meer verwijderd. Ook worden digitale documenten vaak via mail gedeeld.
Door de grote hoeveelheid aan informatie en het ontbreken van eigenaarschap, voelt vaak niemand zich geroepen om stil te staan bij het veilige gebruik hiervan.
Van schijnveiligheid naar veiligheid
Zoals hierboven is benoemd, kan schijnveiligheid op verschillende manieren ontstaan. Bij het implementeren van ISO27001 gaat het vooral over het begrijpen van wat er wanneer door wie moet gebeuren met als uitdaging om de impact op bestaand werk te minimaliseren. Bepaald dient te worden wat nodig is om de organisatie veilig te houden en hoe hetgeen wat de standaard vereist in de reeds lopende operatie kan worden geïntegreerd.
Het DVG InfoSec ISMS groeiprogramma helpt u te groeien naar een situatie van continue veiligheid en verbetering van uw informatiebeveiliging en om dit een integraal onderdeel van uw gehele bedrijfsvoering te maken in plaats van alleen een IT aangelegenheid. Een ISMS helpt u eveneens om op een andere manier naar risico’s te kijken. Zo gaat risicomanagement namelijk niet over het zien van problemen maar a) over het vinden van mogelijkheden om te verbeteren en b) het voorkomen van schade zodat het harde werk van de organisatie niet weer afgebroken wordt door hackers en andere cybercriminelen.
Daarnaast helpt ons ISMS groeiprogramma om uw organisatie op een goed georganiseerd, goed gestructureerde en schone manier in te richten met hogere kwaliteit en resultaten als bijkomend voordeel.
