De volgorde in volwassenheid
Een tijd terug was ik met een aantal mensen in gesprek over informatiebeveiliging. Er werd veel gesproken over de technische kant van informatiebeveiliging. Als techneut vind ik alle techniek rondom informatiebeveiliging erg interessant, maar mensen die mij een beetje kennen weten dat ik vooral verbetermogelijkheden zie op organisatorisch vlak.
Ik beaamde daarom in de groep het belang van het op orde hebben van de techniek, maar dat ik vooral van mening ben dat we de organisatorische kant moeten gaan aanpakken. Zo moeten we informatie in kaart gaan brengen, deze aan eigenaren gaan toekennen en hen op de bijbehorende verantwoordelijkheden gaan afrekenen. De groep was het met me eens, maar ik kreeg daarbij wel de opmerking: ‘dat is wel the next-level informatiebeveiliging’.
De keuze voor techniek
Die opmerking fascineerde me. Ik merk wel vaker dat de techniek als basis wordt gezien en een goede organisatie er omheen als de volgende stap. Ook in uitingen over basis beveiligingsmaatregelen zien we de nodige techniek terugkomen. Veilig gebruik van techniek is natuurlijk goed, maar wat me opvalt is dat niemand die zich afvraagt of het uitgangspunt van de gekozen techniek wel de juiste is. Zo is in dat soort uitingen vaak iets te lezen over het beveiligen van e-mail. Ook hier weer, als je e-mail gebruikt, doe dat dan veilig, maar waarom gebruiken we eigenlijk e-mail? Vooral over het doorsturen van documenten via e-mail kun je je afvragen of dat wenselijk is. Je creëert namelijk een kopie van de informatie, met allerlei mogelijke gevolgen. Want welk document is nu het origineel? Gaat die kopie een eigen leven leiden? Vanuit beheeroptiek, maar ook vanuit beveiligingsoptiek, zijn tal van redenen te bedenken waarom het mailen van documenten niet wenselijk is.
Het gebruik van e-mail om documenten te delen komt natuurlijk ergens vandaan. Het is vaak uit gemakzucht, uit gewenning of het is zelfs de enige methode die gebruikers hebben om documenten te delen. Vaak staan die documenten in een Windows fileshare en van daaruit delen is niet altijd met iedereen mogelijk. En waarom hebben we eigenlijk allemaal Windows fileshares? Windows fileshare is een middel. Informatie kunnen verwerken is het doel. In de meeste gevallen wordt een Windows fileshare standaard vanuit ICT aangeboden en moeten gebruikers maar zien hoe ze daar hun informatie in kwijt kunnen. Het middel is dus leidend, terwijl eigenlijk het doel leidend zou moeten zijn. Zou een documentair informatiesysteem dat afgestemd is op de verwerkingsbehoefte niet beter zijn? Bij veel presentaties stel ik het publiek vaak de vraag: “Wie kent dat, dat je een document hebt dat je zelf niet meer nodig hebt, maar waarvan je niet weet of het weg mag? Je maakt dan in de bewuste folder een nieuwe folder aan genaamd ‘Archief’ en stopt het daar maar in, waar het vervolgens vele jaren in blijft staan.” In alle gevallen gaat dan bij iedereen een vinger omhoog. Het zegt niet alles, maar wel een hoop over in hoeverre een Windows fileshare aansluit bij de behoeften en verwachtingen van gebruikers.
Passende techniek
Dit is wat er naar mijn idee misgaat in de ICT. Techniek is vaak leidend. Wat moet veranderen is dat we eerst bepalen welke vorm van informatieverwerking wenselijk is, om er vervolgens bijpassende middelen bij te zoeken. Wat sluit het beste aan bij hoe gebruikers met informatie willen werken en hoe de organisatie wil dat gebruikers met informatie werken? In een goede aanpak, maak je op dat moment ook een inschatting van de mogelijke risico’s en laat je de tegenmaatregelen onderdeel vorm van je ontwerp. Ik ben ervan overtuigd dat voor veel organisaties geldt dat als zij in kaart gaan brengen hoe zij het beste, het liefste en het veiligst zouden werken met informatie, het bijbehorende ICT-plaatje er anders uit zal zien dan hun huidige ICT-infrastructuur.
Om dat plaatje te kunnen maken, is er natuurlijk betrokkenheid vanuit de organisatie nodig. Afdelingsmanagers zullen moeten aangeven wat de wensen zijn vanuit de afdeling rondom informatieverwerking, aangeven wat de waarde van die informatie is en, eventueel in overleg met de CISO, bepalen wat het gewenste niveau van beveiliging is. Dat vraagt om betrokken eigenaarschap. Het goed ingericht hebben van informatie-eigenaarschap is dus niet the next-level, maar zou eigenlijk het uitgangspunt moeten zijn. Een ICT-infrastructuur die is opgezet vanuit de informatieverwerkingsbehoefte vanuit de organisatie en waarin de benodigde beveiliging is afgestemd op de verwachte dreigingen en het kennisniveau van de gebruikers, dat is the next-level.