Security

De Chief Information Security Officer is Chief Security Officer! Weg met de i!

In mijn derde blog schreef ik over de AVG als aanjager voor de samenwerking tussen Security Officers en juristen. Maar samenwerking is op nog veel meer terreinen essentieel en leuk!

Binnen het Conclusion ecosysteem is Conclusion Mission Critical mijn thuisbasis. Iedere dag zie ik daar hoe het gebruik van IT en datastromen mee-ademen met gebeurtenissen in de fysieke wereld. In ons Operations Center zien we dit bijvoorbeeld bij de datastromen van systemen, websites en apps van NS en ProRail. Niet alleen de dagelijkse spits, maar ook bijvoorbeeld code rood zien we hier voorbij komen. De IT-systemen zijn essentieel voor de beschikbaarheid en inzet van machinisten, conducteurs en materieel. Daarnaast helpen deze systemen reizigers met actuele reisinformatie. Het is nu echt zover: de fysieke wereld kan niet meer goed functioneren zonder IT. Beschikbaarheid en veiligheid van IT is dus cruciaal voor het functioneren van onze fysieke wereld en maatschappij.

Omgekeerd is fysieke veiligheid ook een belangrijke factor voor de veiligheid van IT.

Gebruikers van de Cloud vertrouwen op de fysieke veiligheid in Data Centers (DC). Die is meestal ook goed voor elkaar, maar iedere dag neemt een Security Officer in een DC beslissingen in het fysieke domein. Welke apparatuur mag het DC in- en uit; mogen de klanten wel rondgeleid worden in de computerzaal, werken de camera’s, welke monteurs moeten worden begeleid, hoe vernietigen we afgeschreven mediadragers, zijn de SCADA/ICS-systemen die bewaking, koeling, luchtvochtigheid etc. regelen beschikbaar en goed gescheiden van onze IT-productieomgeving?

Verwaarlozen of negeren van fysieke veiligheid heeft impact op IT-veiligheid. Hoewel we steeds meer naar de Cloud brengen bevindt zich steeds meer IT-apparatuur in omgevingen waar geen of beperkte fysieke veiligheidsmaatregelen aanwezig zijn. De weerbaarheid van IT-systemen wordt daarmee steeds afhankelijker van aandacht voor ‘veiligheid’ in de breedste zin van het woord. Naast logische beveiliging is expliciete aandacht voor de fysieke veiligheid nodig.

Aandacht waarbij de ‘i’ van informatie belangrijk blijft, maar affiniteit met veiligheid in het fysieke domein niet minder… Dat betekent weer een verbreding van je kennis als Security Officer!

Apparatuur, denk aan IoT maar ook laptops, smartphones en gegevensdragers, is steeds vaker ergens. Thuis, onderweg of op locaties in het veld; kwetsbaar voor allerlei fysieke bedreigingen. En dat terwijl de beschikbaarheid meer dan ooit een cruciale rol speelt bij informatievoorziening en kritische bedrijfsprocessen.

Tegelijkertijd is deze apparatuur een nieuwe bedreiging voor de veiligheid en continuïteit vaak letterlijk de Achilleshiel van uw bedrijfsinfrastructuur. De apparatuur functioneert in een omgeving die per definitie niet volledig fysiek onder controle kan zijn. Je moet dus het maximaal haalbare halen uit een combinatie van logische en fysieke maatregelen. Om dat te kunnen doen moet je als Chief Security Officer de fysieke wereld waarin deze apparatuur wordt toegepast goed begrijpen. Tenslotte zijn ook in Nederland steeds meer bedrijven de veiligheid van personeel en gebouwen aan het professionaliseren en ook daar komen IT en de wereld van fysieke veiligheid steeds vaker samen.

We kunnen veel leren van de DC-Security Officer. En met die kennis en ervaring kunnen we veiligheid proportioneel in de context van een kantoorgebouw of apparatuur in het veld verbeteren.   

Als Chief Security Officer hoef je niet alles te weten. Je moet wel weten wie er voor bepaalde onderwerpen verantwoordelijk zijn en op wiens kennis en ervaring je kunt vertrouwen. Met gevoel voor fysieke veiligheid gecombineerd met je IT-kennis en ervaring als Chief Security Officer werk je met specialisten aan ‘defense in depth’ voor de organisatie en bedrijfsprocessen.    

De ‘i’ in Chief Information Security Officer is dus misleidend geworden… Fysieke veiligheid is afhankelijk van IT-veiligheid en IT-veiligheid van fysieke maatregelen. De Chief Information Security Officer kan zijn of haar rol niet meer beperken tot IT-veiligheid, maar werkt samen met een netwerk van specialisten in de organisatie aan veiligheid in de breedste zin van het woord.

Dag Chief Information Security Officer, welkom Chief Security Officer!