Tijdens de avond worden onder de deelnemers heel veel en diverse aspecten van security besproken, die vanuit allerlei hoeken worden belicht. Het zijn er te veel om op te noemen, wat alleen al aangeeft hoe complex IT-security is geworden. Direct bij het introductierondje blijkt alvast dat de urgentie en volwassenheid van de beveiliging van de verschillende organisaties sterk verschilt. Een bank moet namelijk zoveel beter aantonen dat de beveiliging helemaal op orde is dan veel andere organisaties. De aanwezige vertegenwoordiger van een bank is dan ook de enige vertegenwoordigde organisatie die de reporting aan de board over de beveiliging helemaal heeft gekwantificeerd. Daarin wordt niets aan het toeval overgelaten. Terwijl de aanwezige CISO van een groot ziekenhuis het belang van storytelling benadrukt. Je moet ze meenemen in het verhaal, zegt hij, dan begrijpen ze heus wel hoe belangrijk beveiliging is. Al geeft ook hij toe dat voor effectieve besluitvorming dat verhaal zoveel mogelijk moet worden onderbouwd met harde cijfers.
Iedereen is het erover eens dat beveiliging door de vele nieuwe technologieën veel ingewikkelder is geworden. Een van de aanwezigen stelt daarbij duidelijk dat ze niet te veel voorop willen lopen met allerlei innovaties. "Wij willen gemiddeld zijn", zo geeft hij aan. Daar kunnen verschillende redenen voor zijn, zo blijkt uit de discussie die dan ontstaat onder de aanwezigen. Allereerst is het duur om voorop te lopen. Sowieso moet je dan steeds zelf het wiel uitvinden, terwijl het veel makkelijker is om die wielen af te kijken van vergelijkbare organisaties die het goed doen. Daarbij moet je wel zorgen dat je in het spoor blijft, zo is de consensus, want iedereen wil altijd net iets beter zijn dan het gemiddelde. Dan loop je niet alleen voorop met het risico een pijl in je rug te krijgen, maar toch vooraan genoeg om niet af te vallen in de strijd met de concurrenten. Het is nodig om een goede balans tussen innovatie en beveiliging te creëren. "Op het gebied van beveiliging willen we wel beter zijn dan de buren", zegt dezelfde persoon die de discussie is begonnen.
Een probleem bij die beveiliging is, zo wordt vervolgens geopperd, dat veel securityspecialisten vooral gericht zijn op de technologiekant van beveiliging. Ze benaderen security als system-integrators. Dat is zeker noodzakelijk, maar niet voldoende. Er is meer nodig dan dat. Beveiliging heeft namelijk alles te maken met context en dus moet je een brug kunnen slaan tussen de techniek en de context waarin die techniek wordt gebruikt. Het is namelijk heel makkelijk om op zichzelf goede technische producten ineffectief in te zetten, waardoor ze het probleem niet oplossen. Alleen hebben we al te weinig mensen die de techniek begrijpen, dus hebben we een nog veel groter gebrek aan mensen die ook de context zien, om nog maar te zwijgen over mensen die bruggen ertussen kunnen slaan. Het is dan ook vooral zaak om de complexiteit te verminderen, waardoor je de beperkte middelen gericht kunt inzitten, wat de beveiliging ten goede zal komen.
Toch kan het ook gebeuren dat als je het té goed doet qua beveiliging, je gekort wordt op je budget omdat er een vals gevoel van veiligheid is ontstaan. Juist daarbij is het weer van belang om de reporting naar de board beter te kwantificeren, zo benadrukt Fabrice Wynants van Verizon nogmaals. Beveiliging moet inderdaad gebeuren met een zeer goed oog voor de samenhang, maar hulp en goedkeuring van bovenaf blijft eveneens een bittere noodzaak.
Reageer
Preview