Informatiemanagement en informatiebeveiliging: two worlds apart?

Informatiemanagement is iets anders dan ICT-techniek. Ik heb talloze verjaardagen, feestjes en ongemakkelijke eerste dates doorgebracht met pogingen om uit te leggen dat ik me niet bezighoud met het maken of het debuggen van software, maar met het helpen van organisaties om een goed overzicht te krijgen van alle bij hen aanwezige informatiestromen. De taken van de informatiemanager zijn dan ook duidelijk anders dan de taken van de informatiebeveiliger. Informatiebeveiliging gaat immers om het maken van ingewikkelde software waarmee het schimmige types met geavanceerde technische snufjes onmogelijk wordt gemaakt om computers onklaar te maken. Voor velen is dit een herkenbaar beeld. Wie heeft er enkele decennia terug geen uren doorgebracht met het installeren en laten draaien van trage virusscanners om bestandsnamen razendsnel afgerateld te zien worden? En wie heeft zich nooit suf gezocht naar het juiste vinkje bij de instellingen van al te strenge firewalls die ijzerenheinig internetverkeer blijven tegenhouden dat je wél vertrouwt? Het is software zoals deze virusscanners en firewalls waar we op vertrouwen voor de veiligheid van onze computers, zowel in onze persoonlijke levens als in onze organisaties.

Hoe herkenbaar dit beeld ook mag zijn, het is minstens even beperkt. Het gevolg van dit herkenbare maar beperkte beeld is een stereotype, een stereotype dat het al te gemakkelijk maakt om informatiebeveiliging over te laten aan experts. Niet de processpecialisten, maar de ICT-techneuten, de ontwikkelaars van tools zoals antivirussoftware en firewalls. Anders gezegd, het gevaar van een stereotiep beeld van informatiebeveiliging is dat medewerkers de informatieveiligheid van hun organisatie overlaten aan hun collega’s van ICT en niet stilstaan bij wat zij zelf kunnen doen. En dat laatste is gevaarlijk. Een groot deel van alle cyberaanvallen is het gevolg van menselijke fouten en had dus met meer aandacht en toerusting voorkomen kunnen worden. Goede software is belangrijk, maar het is minstens even belangrijk om stil te staan bij het feit dat informatieveiligheid niet alleen om software, maar ook (en misschien wel vooral) om menselijk gedrag draait.

Misschien vraagt u zich nu af welk verschil menselijk gedrag kan maken binnen uw organisatie. Ontwikkelen de tools en de trucs van cybercriminelen zich immers niet in razendsnel tempo? En is dat niet de reden dat we informatiebeveiliging toevertrouwen aan een select groepje specialisten? Nu valt niet te ontkennen dat de gereedschapset van cybercriminelen regelmatig wordt uitgebreid. Het is dan ook absoluut nodig dat er specialisten zijn die ervoor zorgen dat de technologische ontwikkeling van preventiemiddelen gelijke tred houdt. Dit proces van voortdurend technologisch door ontwikkelen betekent alleen niet dat daarmee ook de doelstellingen van cybercriminelen veranderen. Ze proberen nog steeds om uw systeem binnen te komen met de bedoeling om daar op enigerlei wijze schade aan te richten. De middelen van cybercriminelen veranderen dus voortdurend, maar hun doelen blijven hetzelfde.

Wellicht is het zinvol om informatiebeveiliging in dit opzicht te vergelijken met het beveiligen van een woning: beide gebeuren om te voorkomen dat een ongenode gast om welke reden dan ook binnendringt. Als de snufjes van indringers om alarmsystemen te omzeilen steeds geavanceerder worden, verandert het doel van deze indringers niet. U hoeft dan ook geen expert op het gebied van surveillance te zijn om te weten dat u zelf ook het een en ander kunt doen om uw woning veilig te houden, zoals het op slot doen van een voordeur en het sluiten van alle ramen wanneer u van huis gaat. Waarschijnlijk slaat u direct alarm als u uw huis binnenkomt en ziet dat er lades zijn opengetrokken of spullen anders staan dan u ze heeft achtergelaten. Misschien bent u zelf wel lid van een buurtgroep waarin u informatie deelt over verdachte activiteit in uw buurt, zelfs als dit niet hoeft te betekenen dat iemand het op uw woning voorzien heeft. Met al dit soort handelingen kunt u ook zonder in beveiliging te zijn gespecialiseerd uw woning veiliger maken.

Ook qua informatieveiligheid zijn er handelingen waarmee medewerkers hun organisatie kunnen helpen. Een eenvoudig voorbeeld is het vergrendelen van uw beeldscherm wanneer u uw werkplek tijdelijk verlaat. Het nalaten hiervan leidt niet alleen tot plagerige aanpassingen van collega’s met een voorliefde voor practical jokes, maar kan een kwaadwillend individu dat zich toegang tot uw kantoor heeft weten te verschaffen ongewenste toegang tot uw netwerk geven op een manier waar geen wachtwoordprotocol tegenop kan. In het verlengde hiervan kan medewerkers worden gevraagd om telefonische verzoeken om hun logingegevens te verschaffen te negeren, hoe urgent de persoon aan de andere kant van de lijn ook claimt dat dit verzoek is. Ook kunnen medewerkers verdachte emails met bijlagen of internetlinks niet alleen negeren, maar ook onderling bespreken of rapporteren. Er is een aantal cyberbedreigingen, waaronder virussen, die niet verspreid kunnen worden zonder dat een medewerker hier onbedoeld aan meewerkt. Het ondervangen van gedragingen waarmee zulke onbedoelde medewerking wordt verleend, vormt een aanzienlijke bijdrage aan informatieveiligheid.

Nu gaat de vergelijking tussen een medewerker en iemand die zijn of haar woning veilig houdt niet in alle opzichten op. In uw eigen woning heeft u het waarschijnlijk direct door als er eigendommen ontbreken of spullen anders staan dan u ze heeft achtergelaten (of anders uw partner wel!). In een digitale omgeving is een dergelijk overzicht niet eenvoudig bereikt. Daarom is het zinvol om voortdurend te kunnen monitoren of alle informatie die zich in uw organisatie bevindt ongemoeid is gebleven. Een logische voorwaarde hiervoor is dat u weet welke informatie zich allemaal binnen uw organisatie bevindt en waar deze informatie is opgeslagen. Het in kaart brengen van deze informatie is precies waar een specialist in informatiemanagement uw organisatie bij kan ondersteunen. Daarmee zijn de taken van experts op het gebied van informatiemanagement en informatieveiligheid uiteindelijk toch niet helemaal verschillend.

Ik begon dit artikel met het beeld dat informatieveiligheid een veld is dat, in tegenstelling tot informatiemanagement, aan een select groepje experts kan worden uitbesteed. Twee van de beperkingen van dit beeld zijn in dit artikel de revue gepasseerd. Medewerkers kunnen zelf stappen zetten om de informatieveiligheid van hun organisatie te bevorderen. Op organisatieniveau kan het verschil onder meer worden gemaakt door alle informatiestromen binnen een organisatie in kaart te brengen. Als u er zeker van wil zijn dat u daadwerkelijk alle informatie heeft geïnventariseerd, vormt een overzicht van alle processen die binnen uw organisatie worden uitgevoerd hiervoor een solide basis. Daarom kan VHIC als dé specialist op het gebied van modelprocessen uw organisatie helpen om uw informatieveiligheid in beeld te brengen en te managen. Dit kunnen wij doen door het implementeren van ons Information Security Management System (kortweg: ISMS). Deze tool vormt geen vervanging voor tools als virusscanners en firewalls, maar vult deze aan om uw organisatie de regie te geven over haar informatieveiligheid. Benieuwd wat het ISMS voor uw organisatie kan betekenen? Klik dan hier.

Samuel van Bruchem

Terug naar overzicht