11 februari 2014 -
De factor mens is de zwakste schakel binnen organisaties als het gaat om IT-security en online samenwerken. Online samenwerken is niet meer uit onze wereld weg te denken, terwijl het gebruik van cloudapplicaties risico’s met zich meebrengt.
Een grote diversiteit aan accounts, wachtwoorden en documenten kan problemen opleveren. Dat stelt Erkan Kahraman, CISO bij Projectplace in de whitepaper Bring Your Own Security. Om deze zwakke schakel te kunnen ondervangen is het belangrijk dat een organisatie zich focust op het creëren van bewustzijn van de risico’s bij het gebruik van online applicaties om samen te werken.
Bewustwording creëren
Eén van de manieren om deze bewustwording te creëren is om de IT-security niet alleen neer te leggen bij één persoon, maar bij de gehele organisatie. Een personeelsbestand dat zich bewust is van de risico’s is al een eerste stap naar veilig online samenwerken. Daarbij kan het nuttig zijn om een interne appstore in te richten. Hiermee behoudt het personeel keuzevrijheid, maar houdt de organisatie grip op de veiligheid van data. Steeds meer bedrijven maken gebruik van deze oplossing. Volgens onderzoeksbureau Gartner zal in 2017 een kwart van de bedrijven beschikken over een dergelijke store.
"Personeel dat op de hoogte is van de gevaren van online samenwerken is goud waard," stelt Erkan Kahraman. "Een medewerker die zicht bewust is van de risico’s krabt zich nog eens goed achter de oren voordat hij of zij vertrouwelijke documenten verstuurt met een gratis cloudtool. Naast het bewustmaken van collega’s kan een organisatie meer randvoorwaarden scheppen, waardoor risico’s worden ingeperkt. Kijk bijvoorbeeld naar keurmerken en ISO-certificaten van tools waarmee gewerkt wordt, de plek waar de server is gestationeerd en stel een duidelijk securitybeleid op. Dit zijn handige tips om op een veilige en onbezorgde manier te kunnen genieten van de voordelen die online samenwerken met zich mee brengt."
In de allereerste plaats zou men zich nog eens zeer goed moeten beraden over het hele byod verhaal natuurlijk.
Als je namelijk tegen beter weten in iets als byod wil implementeren loop je tegen dit soort zaken aan. Als je daar dan vervolgens eerst niet over hebt nagedacht, krijg je inderdaad dit soort publicaties.
De bal leggen waar....
Als we dan sec kijken naar waar de bal hoor te liggen? Dan is het natuurlijk bij diegenen die hoera en hosanna roepen bij dat byod verhaal. Plotseling heb je man en paard nodig om zaken in goede banen te leiden.
Voorspelbaar
In menig forum en white paper hebben wij al gesteld dat het byod verhaal geen enkele toegevoegde waarde heeft, alleen maar problemen en vragen zal oproepen.
IT is een prachtig vehikel maar wanneer men zaken doet die contra zijn met de materie IT, dan krijg je hel voorspelbaar gewoon grote problemen en grote rekeningen.
Dan zijn uiteindelijk publicaties als deze het intrappen van een open deur. Helaas.
Veel schadelijke malware wordt geïnstalleerd toedoen van de eindgebruiker door het bezoeken van malfide websites en het klikken op links in e-mails en het downloaden van besmette bestanden.
Het is inderdaad een trend om IT-security bij ICT weg te halen en te verschuiven naar de organisatie. Zodra je IT-security bij de business neerlegt, leg je ook de verantwoordelijkheid waar deze moet liggen. IT is een faciliterende dienst, dmv zaken als attestation (terugkerende routine-controles waarmee je bijvoorbeeld aan de manager(s) vraagt of rollen/autorisaties nog kloppen) kun je de IT-security beter borgen.
Trend om security bij ICT weg te halen? Ik hoop het werkelijk niet. Security is een zaak van twee kanten. ICT enerzijds en gebruikers en de organisatie anderzijds.
Wat er wel aan het gebeuren is als trend is het gegeven dat men sinds 2008 heel snel werk heeft gemaakt afscheid te nemen van een heel groot human capital en deze in te wisselen voor 'Young Upcoming Talent' met alle voorspelbare gevolgen van dien.
IT is een zeer voorspelbare vehikel waarmee mooie dingen te bereiken zijn en als je daar 'onhandig' mee om gaat, zal dat resulteren in torenhoge rekeningen. Zo eenvoudig is het.
Een manager hoeft zich in de regel helemaal niet te bekommeren om het intrinsieke ICT, dat doen IT professionals. Wat men wel dient te borgen zijn sluitende gebruikers processen en procedures. En laat nu dat gegeven zijn wat onder zeer grote druk staat met natuurlijk allerlei vervelende en dure consequenties van dien.
