Security: van preventie naar detectie

'Wat wij belangrijk vinden tijdens een dag als deze is dat sprekers echt een verhaal vertellen en geen verkooppraatjes', begint Dave. 'Ik geloof in het TED-principe, waarbij inspirerende verhalen kennis overbrengen in iets meer dan vijftien minuten. Snel tot de kern komen zodat iedereen de aandacht erbij houdt. Daarnaast zijn we wel klaar met het overbrengen van angst voor bijvoorbeeld cybercrime. Er is veel meer te vertellen en dat hoeft niet negatief te zijn.'

Meldplicht datalekken

Dat klinkt meteen negatief, een meldplicht voor datalekken. Toch hoeven organisaties ook hier niet bang voor te zijn volgens Dave. 'Ik kan me best voorstellen dat bedrijven denken: “Waar ga ik beginnen? Moet ik alles outsourcen naar een externe partij of doe ik het zelf?” enzovoort. Maar in feite komt het erop neer dat alles begint met een stuk beleid bij bedrijven. Er is geen product dat een bedrijf volop beschermd tegen de mens dus het creëren van awareness bij medewerkers zou een hele goede eerste stap zijn. Daarna komt het neer op patch-management, bijhouden van logs en het maken van afspraken binnen een organisatie. Teveel bedrijven hebben het idee dat het ze heel veel geld gaat kosten, terwijl goede communicatie en training al zoveel problemen uit de weg neemt'.

Management

Een van de grootste kloven die bij organisaties overbrugd moet worden is het creëren van een draagvlak voor it bij hoger management. Daar moet zeker aan gewerkt worden volgens Dave. 'Wanneer oplossingen geld kosten voor organisaties omdat de meldplicht eraan komt, drijft het draagvlak voor it bij het hogere management van bedrijven weg. Dat is problematisch, want het dna van een bedrijf zit in de boardroom van een organisatie. Als daar het belang van security niet ingezien wordt, is dat problematisch. We (ESET, red.) geven nog steeds besturen van ondernemingen uit wat cybercrime is, dat het allang niet meer om online pesten gaat, dat er heel veel geld in cybercriminaliteit omgaat. We kunnen uiteraard medewerkers trainen, maar ook leden van het bestuur. Zij zijn tenslotte degene die straks openbaar verantwoording moeten afleggen over hoe hun organisatie hun security heeft geregeld.'

Samenwerken

Wel benadrukt Dave dat om de boardroom te bereiken, de communicatie van twee kanten moet komen. 'Natuurlijk moeten bestuurders moeite, tijd en ook geld steken in het opdoen van kennis over security. Maar hier ligt ook een taak voor de it-afdeling. Hoe vaak worden bestuurders niet afgeschilderd als sales-mensen in grijze pakken die 'niets snappen van it'? Dat helpt natuurlijk niet. It'ers moeten daarom de helpende hand uitsteken en willen helpen. Aan de andere kant moeten bestuursleden ook geholpen willen worden en zich daadwerkelijk informeren over de noodzaak van goede security. Bovendien is het voor ESET ook interessant om met dergelijke mensen om de tafel te zitten. Ook wij leren daarvan. Als we een niet-technische ceo leren werken met it op een manier dat zij het snappen, dan zijn we zo ver dat we een hele organisatie goed kunnen informeren en awareness bijbrengen.'

Detectie

Inmiddels weten we dat wanneer een bedrijf software gebruikt, de kans erg groot is dat deze lekken bevat. Dat is waarom er meer en meer aandacht komt voor detectie naast preventie. Dave: 'Preventie zal altijd belangrijk blijven, maar detectie krijgt meer en meer aandacht, en dat is niet voor niets. Dat we bijvoorbeeld afwijkingen kunnen detecteren op het bedrijfsnetwerk. Hieruit volgt: hoe snel kunnen we hierop reageren? Als je dat allemaal in kaart hebt gebracht, dan kun je aantonen dat je van begin tot eind moeite en tijd hebt gestoken om op redelijke wijze datalekken tegen te gaan en lekken op te lossen.'

Zo komen we weer terug bij de meldplicht datalekken. Want als een bedrijf kan aantonen dat zij datalekken serieus nemen en pro-actief hun netwerk beschermen door middel van detectie en preventie, kan een bedrijf zeggen dat zij hun netwerk onder controle hebben. 'Het komt toch uiteindelijk neer op privacy', besluit Dave.