V3 = Veiligheid, Verwachtingen, Vertrouwen

Oktober Cybersecurity maand

Is V3 een solide basis voor de samenleving van morgen?

Alles lijkt mogelijk: een echte snoepwinkel

Oktober, cybersecuritymaand, de nationale #alertonline securitycampagne is weer geïntensiveerd!  Deze gericht op het cyber security bewustzijn in onze maatschappij, dat is meer dan ooit noodzakelijk gelet op de verregaande digitalisering van onze maatschappij. Dankzij ‘digital transformation’ lijkt alles mogelijk; een echte ‘snoepwinkel’. Maar net als in een ‘snoepwinkel’ is lang niet alles gezond.

Hoe enthousiast ik ook kan worden over allerlei nieuwe toepassingen, ik vraag toch altijd aandacht de informatieveiligheid. De toenemende aandacht van de politiek en top van het bedrijfsleven is mooi; dat geeft vertrouwen in de toekomst. Anderzijds bekruipt me vanuit mijn tactisch-operationele rol toch regelmatig het gevoel dat de aandacht te beperkt, te complex, te dubbelzinnig en te laat is…  De  voorspelbaarheid van de wereld is beperkt en ieder dag zien we geanticipeerde maar vooral ook niet voorziene effecten die moeten worden opgepakt.  

Opgepakt door wie…? Wat doet security nu eigenlijk? Is alles wat Conclusion voor ons doet wel veilig genoeg? Waarom kan deze nieuwe technologie niet sneller beschikbaar komen? Veel gestelde, ingewikkelde vragen waarop ieder eenvoudig antwoord niet de hele waarheid kan zijn en waar risicomanagement altijd een rol speelt!

Hoge verwachtingen en soms blindelings vertrouwen

Hoge verwachtingen en soms blindelings vertrouwen. Mijn strijdkreet ‘never a dull day’ wordt dankzij de variëteit van -en onvoorziene vraagstukken ieder dag weer waargemaakt. Zeker als al die securityzaken(?) alle mogelijke facetten binnen en buiten de organisatie raken; mensen, techniek en processen. De samenleving van morgen vraagt – ook van security professionals - doorlopend om oplossingen om ‘door te kunnen gaan. Vaak ‘onmogelijke’, ‘onvolledige’ oplossingen met de nodige security risico’s, maar zo komen we wel vooruit; ‘ship and fix’. Kortom, als je niet van informatie verwerken, innovatie en verassingen houdt moet je geen Security Officer worden.

Daarbij is het wel essentieel dat iedereen voldoende vertrouwen houdt op weg naar de perfecte digitale samenleving van morgen. Maar juist rond vertrouwen in informatieveiligheid val ik iedere dag weer van de ene verbazing in de andere... 

Bijvoorbeeld: onze foto’s zijn bijzondere persoonsgegevens en we eisen van onze werkgever dat deze niet, of onder hele strikte voorwaarden, door ons bedrijf worden gebruikt in op de ‘wie-is-wie’ van de organisatie of op LinkedIn. Tegelijkertijd plaatsen we deze en andere foto’s massaal op Social Media en vertrouwen erop dat dat wel goed zit.

Of: we vertrouwen erop dat onze internetprovider onze internetverbinding en Wi-Fi beveiligd maar verbinden massaal onze smartphone, tablet of fotocamera met open Wi-Fi netwerken, zelfs nu de kosten van 4G fors zijn gedaald.

En: we eisen een referendum over een ‘sleepwet’ en lenen onze smartphone nooit uit aan onbekenden, maar steken geen tijd en energie in de privacy instellingen van ‘gratis’ apps, onze smartphone en internetbrowsers.

En ook: we genieten van ontwikkelingen rond het internet of things (IoT), smart mobility en connected cars maar negeren het feit dat security bij al deze ontwikkelingen pas op de 2e plaats komt.

Zijn bovenstaande voorbeelden alleen maar een kwestie van gebrek aan interesse en bewustzijn of is het struisvogel gedrag? 

Begrijp me goed; ik vind de zorgen vaak terecht maar ik gebruik tegenwoordig toch regelmatig termen als ‘passend’, ‘proportioneel’ etc. in een doorlopende zoektocht naar een vertrouwensbalans; V3.

Die zoektocht is niet altijd makkelijk

Die zoektocht is niet altijd makkelijk. Als ik naast een politieman op een zonnige middag door een wijk loop; zie ik een mooi parkje, prachtige historische gebouwen en vriendelijke groetende jongeren. Diezelfde agent kan deze zonnige middag grondig bederven door me erop te wijzen dat het na zonsondergang niet meer veilig is voor vrouwen en kinderen in dat park, achter de ramen van dat mooie oude pand gisteren nog iemand na 6 maanden dood is gevonden, het pand op de hoek zonder vergunning wordt verbouwd en dat hij die vriendelijke jongeren allemaal heel erg goed kent. Hij doet zijn werk met die kennis om de buurt zo veilig mogelijk te houden, zonder dat bewoners de hele dag met deze negatieve aspecten worden geconfronteerd. Maar hij moet tegelijkertijd wel het bewustzijn van de bewoners op het goede niveau houden zodat de uitdagingen beheersbaar blijven; het is niet reëel te verwachten dat hij en zijn collega’s het alleen kunnen en moeten regelen!

Bewustzijn van de eigen rol en verantwoordelijkheid eindgebruikers

Als ik met mijn collega’s naar IT systemen en diensten kijk voel ik me soms ook een beetje die politieman. Ook een Security Officer moet primair vanuit veiligheid kijken, zorgen dat eindgebruikers van systemen deze met vertrouwen kunnen gebruiken, maar tegelijkertijd bewustzijn van de eigen rol en verantwoordelijkheid van eindgebruikers overbrengen; verwachtingen managen!

Organisaties hebben de morele- en vaak wettelijke plicht om – samen met hun partners informatie veiligheid te regelen. Echter, hoe meer ze hun best doen, hoe groter de ‘vlucht’ van burgers, klanten, eindgebruikers naar shadow IT, voortreffelijk gefaciliteerd door Social Media en public cloud providers. Gemakkelijk en vaak ogenschijnlijk ‘voor niets’.

Niet alleen in oktober security maand, maar hele jaar

Bruce Schneier stelt;  We zeggen dat we informatie veiligheid belangrijk vinden maar handelen in het algemeen tegenovergesteld. Als we ons dat realiseren kunnen we vertrouwen winnen om veiligheid en verwachtingen met elkaar in balans te brengen. Op die manier kunnen we ‘digital transformation’ faciliteren met proportionele aandacht voor -en interesse in de veiligheid van onze samenleving van morgen. #Alertonline speelt daarbij een belangrijke rol; niet alleen in oktober, maar het hele jaar!

Over Conclusion

Conclusion is dé multidisciplinaire dienstverlener op het vlak van Business Transformatie en IT Services. Ons motto? Business Done Differently. Toegewijd, creatief en flexibel nemen wij verantwoordelijkheid voor maatschappij- en missiekritische bedrijfsprocessen en systemen en de digitale transformatie van organisaties, door ICT-kennis werkelijk te combineren met business- en domeinkennis.

Conclusion. Business Done Differently