Security onbetaalbaar?

Security onbetaalbaar?

DearBytesBlogSecurity onbetaalbaar?

woensdag 10 mei 2017

Door Jack Fidder, IT Security Consultant bij DearBytes

Security onbetaalbaar?

Naast alle politieke verwikkelingen en het menselijk wel en wee, is IT security een van de belangrijkste onderwerpen in het dagelijkse nieuws. En niet voor niets. Recente voorbeelden, zoals de Russische hacks tijdens de Amerikaanse verkiezingen en het lekken van de NSA hackingtools tonen aan dat er wel degelijk reden is om de IT security van uw organisatie serieus te nemen.

Maar als je IT security inderdaad serieus neemt en daarvoor op onderzoek uit gaat, verdwaal je als snel in het grote woud van leveranciers, oplossingen en mogelijkheden. En natuurlijk hangt overal een prijskaartje aan. Dus onderaan de streep loopt het bedrag al snel op. En als je dan de knoop hebt doorgehakt, bestaat de kans dat de securitymaatregelen een organisatie soms af lijken te remmen in plaats van te worden gezien als een enabler voor de verdere groei van de business. En dan wordt security al snel ‘onbetaalbaar’.

Hoe maak ik security dan betaalbaar?

Deze eenvoudige vraag is niet eenvoudig te beantwoorden. Ik vergelijk het weleens met het bestellen van een taxi bij een willekeurige luchthaven. Wanneer je op zoek gaat naar een taxi, vallen de ‘aanbieders’ over elkaar heen om maar met jou als klant in contact te komen. Iedereen is je vriend en natuurlijk hebben ze allemaal de beste taxi tegen de beste prijs. Maar als je goed oplet, dan staat achter die groep enthousiaste verkopers (want dat zijn het in feite) een aantal taxichauffeurs die je niet of nauwelijks hoort. En dat zijn vaak de harde werkers die je echt voor een eerlijke prijs van A naar B brengen.

Zo is het ook met security. Er zijn heel veel aanbieders. En allemaal hebben ze de beste tools en bieden ze de beste bescherming. En dat willen ze je graag laten weten. Maar dat alles kost geld, soms veel geld. En ze bieden allemaal de beste oplossing. Misschien niet voor het geheel maar wel voor een specifiek deelgebied. Voor je het weet schaf je meerdere (te dure) oplossingen aan die ieder ‘best-of-class’ zijn, maar die niet in staat zijn om met elkaar samen te werken. Maar gelukkig klopt de volgende aanbieder alweer aan, die ook dat weer voor je kan oplossen. Tegen een prijs, natuurlijk…

Wat kan ik doen?

Als organisatie kun je best veel doen om de securitykosten onder controle te houden. Vooral het bewaren van rust en overzicht is belangrijk. Hoe kun je dat bereiken? Hier zijn wat handvatten:

Mijn eerste advies is: focus! Ongetwijfeld heb je het idee dat er veel zaken aangepakt moeten worden. Maar heb je alles NU, direct nodig? Security serieus nemen wil niet zeggen dat je onmiddellijk alles moet aanpakken. Onderzoek eerst wat de belangrijkste informatie is die beschermd moet worden en waar je kwetsbaarheden liggen. Inventariseer dan welke maatregelen/oplossingen je al hebt. Door deze zaken naast elkaar te leggen, wordt duidelijk waar er nog gaten in je security zitten. En stel je dan de vraag: moet elk gat onmiddellijk gedicht worden? Twijfel je over de uitkomst, laat je dan je adviseren door een betrouwbare partij die je kan helpen met zowel het onderzoek als bij de vervolgstappen. Een belangrijke vervolgstap is bijvoorbeeld een goede planning. Wanneer je weet wat er nodig is en welke prioriteiten er zijn, kun je die planning maken en vervolgens stapsgewijs aan de slag gaan.

Het tweede advies is: verken de markt. Kijk wat er in de markt beschikbaar is om die zaken te regelen die in de vorige stappen als prioriteiten naar voren zijn gekomen. Dit kost uiteraard tijd en daarmee ook geld. Heb je zelf die tijd niet, val dan terug op een betrouwbare partner die dit proces in goede banen kan leiden. En een partij die niet alleen de markt kent, maar ook jouw organisatie en jouw uitdagingen. Belangrijk in deze fase is dat je wel het totaalplaatje blijft bewaken. Behoud dus de focus.

Het laatste advies is: maak keuzes. Daarbij is het belangrijk om je ervan te verzekeren dat de gekozen oplossingen met elkaar kunnen samenwerken. In een eerdere blog heb ik het vergelijking getrokken tussen security en voetbal. Focus je op merken en oplossingen die makkelijk met elkaar te integreren zijn en die goed kunnen samenwerken. Wees daarbij niet bang om daarbij het aantal leveranciers zeer beperkt te houden. Het kan best zijn dat deze merken niet op ieder gebied ‘best-of-class’ zijn, maar presteren ze dan echt zo veel minder? Bij een dergelijke afweging is de mogelijkheid om samen te kunnen werken met andere oplossingen in mijn ogen veel belangrijker. De kracht van ‘samen’ stijgt altijd uit boven de kracht van de individuele oplossing. Een set securityoplossingen die goed samenwerkt zorgt er ook voor dat je sneller kan reageren op incidenten; een zeer belangrijke factor in effectieve IT security.

Met behulp van deze stappen zal je in staat zijn om je plan op een goed doordachte, weloverwogen manier ten uitvoer te brengen. Daarmee creëer je rust en overzicht. En in veel gevallen zal je merken dat de investeringen voor de aanschaf en implementatie over langere tijd gespreid kunnen worden. Dat geeft niet alleen financieel rust maar biedt ook ruimte voor acceptatie binnen de rest van de organisatie. Dit laatste moet je als organisatie niet onderschatten. Security is veel effectiever als het breed door de hele organisatie gedragen wordt.

Plan-Do-Check-Act

Deze adviezen passen binnen de alom bekende ‘Plan-Do-Check-Act’ cyclus. Veel organisaties hebben hiervan gehoord maar bij een security incident schiet men maar al te vaak in alleen het ‘act’ gedeelte. En voor je het weet staat er weer een aanbieder op de stoep met precies die oplossing die dit specifieke incident had kunnen voorkomen. Denk op zo’n moment even aan de taxi’s en kies niet te snel, maar zorg voor rust en overzicht.