Blog

Diagnostiek van IT-beveiliging

Regelmatig vragen bedrijfsleiders me om hun IT-beveiliging te evalueren. Doorgaans laten ze de vraag informeel vallen in de marge van een vergadering over een heel ander onderwerp, of bij een toevallige ontmoeting.

Wat ze vooral willen, is vaak een paar aanwijzingen die hen kunnen geruststellen. Want de investeringen die ze op het vlak van beveiliging doen, zijn zeer zwaar en ze willen weten dat ze goed bezig zijn. Soms willen ze gewoon horen dat ze zullen ontsnappen aan het soort incidenten die regelmatig het nieuws halen of die worden aangehaald in de vaak apocalyptisch getinte presentaties van security consultants.

Op die vragen antwoord ik vaak zelf met vragen. De beste indicator, vertel ik hen eerst, is of er al dan niet een duidelijke redenering zit achter de uitgaven, en een helder idee van de potentiële risico’s waaraan het bedrijf blootstaat. Ik vraag hen of ze zelf het profiel van hun bedrijf kennen.

Zouden ze zich omschrijven als risiconemers of veeleer als voorzichtig? Hebben ze ooit IT-beveiliging besproken op een directieraad? Ik vraag ook of mijn gesprekspartner weet wie de verantwoordelijke is voor bedrijfsbeveiliging, en of hij de gewoonte heeft om met die persoon te overleggen over strategie.

Kent hij bij benadering het totaal bedrag van de uitgaven voor IT-beveiliging? En passen die bedragen binnen beveiligingsprogramma’s die gekend en goedgekeurd zijn?

Als mijn gesprekspartner mij ondertussen niet onderbreekt om over te schakelen op een ander onderwerp, concludeer ik dat deze gratis adviesopdracht een vervolg verdient.

Mijn vragen worden dan specifieker. Welke types incidenten worden gecommuniceerd naar de directie en wat deden de bedrijfsleiders in dergelijke gevallen? Is de onderneming werkelijk voorbereid om zich snel te herstellen na een beveiliginsincident, en hoeveel mag dat kosten?

Bestaat er een inventaris van het bestaande IT-materiaal en hoe komt men te weten dat er iets gestolen of verloren is? Welke maatregelen neemt het bedrijf om ervoor te zorgen dat de gegevens op deze apparaten niet zullen worden misbruikt door personen met slechte bedoelingen?

De interesse van de algemene directie voor IT-veiligheid gaat vaak niet verder dan het prijskaartje. Maar bedrijven die beveiliging op een meer proactieve manier bekijken, weten dat het om veel meer draait.

Veiligheid kan de klant meer vertrouwen geven, de reputatie van het bedrijf verbeteren, helpen om nieuwe producten en diensten aan te bieden, de kosten verminderen en de resultaten meer voorspelbaar maken in het licht van risico’s die de productie kunnen verstoren. En dat zijn maar enkele voordelen.

Wie het best kan oordelen over de kwaliteit van de IT-beveiliging is ongetwijfeld de manager zelf. Hij moet daarbij gebruik maken van interne indicatoren en vergelijken met de plannen en het bestaande programma’s met duidelijk vastgestelde objectieven. Men moet ook beseffen dat zelfs het best ontworpen systeem enkel een voldoende niveau van beveiliging kan bereiken als het wordt gebruikt door gevormd,geïnformeerd en geëngageerd personeel.

Kent u, beste lezer, het maturiteitsniveau van uw eigen onderneming voor wat betreft de governance van IT-beveiliging? Besef vooral dat dit niveau niet noodzakelijk in direct verband staat met het bedrag dat u jaarlijks op dit vlak besteedt.

Georges Ataya is professor aan de Solvay Business School en managing partner bij ICT Control.

Gerelateerde artikelen

Volg ons

Ga jij apps uit alternatieve appstores installeren?

  • Nee, App Store of Play Store is goed genoeg (57%, 109 Votes)
  • Alleen als ik een app écht nodig heb (29%, 56 Votes)
  • Ja, ik wil apps van andere bronnen installeren (14%, 27 Votes)

Aantal stemmen: 194

Laden ... Laden ...
69% korting + 3 maanden gratis

69% korting + 3 maanden gratis

Bezoek NordVPN

Business